Jetzt anfragen

Contact Form 7 mit reCAPTCHA einrichten: Spamschutz für dein WordPress-Kontaktformular – DSGVO-konform

Contact Form 7 Recaptcha

Dein Kontaktformular bekommt zehn Nachrichten am Tag. Neun davon sind Spam. Viagra, Bitcoin, dubiose Backlink-Angebote. Kennst du? Dann brauchst du reCAPTCHA.

Google reCAPTCHA schützt dein Formular vor Spam-Bots. In Verbindung mit Contact Form 7 – dem populärsten Formular-Plugin für WordPress – ist die Integration schnell gemacht. Kein Programmieren, kein Stress.

In diesem Artikel zeigen wir dir, wie du reCAPTCHA in Contact Form 7 einbinden kannst. Version 2 mit Checkbox, Version 3 unsichtbar im Hintergrund. Schritt für Schritt, DSGVO-konform, mit allem was du beachten musst. Vom API-Key bis zur fertigen Einrichtung. Los.

 

Was ist reCAPTCHA – und wie funktioniert es?

reCAPTCHA ist ein Tool von Google, das zwischen Menschen und Bots unterscheidet. Es schützt Formulare, Logins und Registrierungen vor automatisiertem Spam.

In der klassischen Version (reCAPTCHA v2) musstest du ein Kästchen anklicken: „Ich bin kein Roboter.“ Oder Bilder anklicken – „Klicke alle Ampeln an.“ Das war nervig, aber effektiv. Google analysiert dabei das Verhalten des Besuchers: Mausbewegungen, Klickmuster, JavaScript-Daten. Bots fallen durch, Menschen nicht.

reCAPTCHA v3 geht einen Schritt weiter. Keine Checkbox, keine Bilderrätsel. Die Erkennung läuft komplett im Hintergrund. Jeder Besucher bekommt einen Score zwischen 0.0 und 1.0 – je höher, desto wahrscheinlicher ein Mensch. Dein Formular entscheidet basierend auf dem Score, ob die Nachricht durchkommt oder blockiert wird. Für den Benutzer unsichtbar. Captchas der neuen Generation.

 

Was ist Contact Form 7 – und warum nutzen es so viele?

Contact Form 7 ist das beliebteste Kontaktformular-Plugin für WordPress. Über 5 Millionen aktive Installationen. Kostenlos. Open-Source-Software. Auf WordPress.org deutsch verfügbar. Takayuki Miyoshi ist der Entwickler – folgende Menschen haben an diesem Plugin mitgewirkt und es zu dem gemacht, was es heute ist.

Das Plugin Contact Form 7 (kurz CF7) lässt dich Kontaktformulare per Shortcode in jede Seite und jeden Beitrag einfügen. Du konfigurierst das Formular im Backend – Felder, Validierung, E-Mail-Einstellungen – und bindest es per Shortcode ein. Schlank, flexibel, zuverlässig.

Das Problem: Ohne Spamschutz ist jedes Formular ein Einladungsschild für Bots. Contact Form 7 hat ab Version 5.1 eine native reCAPTCHA Integration eingebaut. D.h. du brauchst kein zusätzliches Plugin – die Anbindung ist direkt in CF7 enthalten. Du musst nur reCAPTCHA einrichten und die Keys hinterlegen.

 

Wie registrierst du deine Seite für Google reCAPTCHA?

Bevor du reCAPTCHA in WordPress einbinden kannst, brauchst du API-Keys von Google.

Geh auf google.com/recaptcha/admin. Melde dich mit deinem Google-Konto an. Klicke auf das Plus-Symbol, um eine neue Site zu registrieren. Gib einen Namen ein (z.B. „Meine WordPress Seite“). Wählen zwischen reCAPTCHA v2 oder v3 – dazu gleich mehr. Trage deine Domain ein. Nutzungsbedingungen akzeptieren. Auf „Senden“ klicken.

Google gibt dir zwei Keys: Einen Site Key und einen Secret Key. Beide brauchst du gleich. Den Site Key für das Frontend (was der Besucher sieht). Den Secret Key für die Serverkommunikation. Kopiere beide. Die Registrierung dauert zwei Minuten. Bitte beachten: Die Keys sind domain-spezifisch – für jede Website brauchst du eigene.

 

Wie richtest du reCAPTCHA v3 in Contact Form 7 ein?

reCAPTCHA v3 ist die empfohlene Version. Unsichtbar, kein Nutzer-Eingriff, moderne Erkennung.

Im WordPress Admin-Bereich: Geh auf Contact → Integration. Dort findest du den Bereich „reCAPTCHA“. Klicke auf „Integration einrichten“ (oder „Setup Integration“). Zwei Felder erscheinen: Site Key und Secret Key. Füge die Keys ein, die du bei der Registrierung von Google erhalten hast. Speichern.

Fertig. Contact Form 7 reCAPTCHA ist jetzt aktiv. Ab diesem Moment wird reCAPTCHA v3 automatisch auf allen Seiten geladen, die ein CF7-Formular enthalten. Du musst keinen Shortcode ändern, keinen Code einfügen, nichts weiter konfigurieren. Das Plugin aktiviert reCAPTCHA global. Im Frontend siehst du unten rechts ein kleines reCAPTCHA-Badge – das Zeichen, dass der Schutz läuft.

Jedes Mal, wenn jemand dein Kontaktformular absenden will, prüft reCAPTCHA im Hintergrund den Score. Liegt er unter dem Schwellenwert, wird die Nachricht blockiert. Spam-Bots kommen nicht durch. Echte Besucher merken nichts. Die reCAPTCHA Integration in Contact Form 7 ist so simpel wie es klingt.

 

Was ist mit reCAPTCHA v2 – und wann macht es Sinn?

reCAPTCHA v2 ist die ältere Version. Die mit der Checkbox „Ich bin kein Roboter.“ Oder den Bilderrätseln. Weniger elegant als Version 3, aber in manchen Fällen sinnvoll.

Seit Contact Form 7 ab Version 5.1 die native reCAPTCHA v3 Integration hat, wird Version 2 nicht mehr direkt unterstützt. Wenn du reCAPTCHA v2 mit Contact Form 7 nutzen willst, benötigst du ein zusätzliches Plugin – z.B. reCaptcha v2 for Contact Form 7 oder ein allgemeines Captcha-Plugin.

Wann Version 2? Wenn du möchtest, dass Besucher bewusst bestätigen, dass sie menschlich sind. Manche Seitenbetreiber bevorzugen das sichtbare Captcha – weil es dem Nutzer zeigt, dass Spamschutz aktiv ist. Andere finden es störend. Geschmackssache. Für die meisten WordPress-Seiten ist reCAPTCHA v3 die bessere Wahl: Kein Klicken, kein Bilder anklicken, kein Friction. Der Besucher merkt nichts – und Bots werden trotzdem blockiert.

 

Ist reCAPTCHA DSGVO-konform – und was musst du beachten?

Die große Frage. Und die Antwort ist: Es kommt drauf an.

reCAPTCHA lädt JavaScript von Google-Servern. Dabei werden Daten übertragen – IP-Adresse, Browserinformationen, Cookies. Das ist datenschutzrechtlich relevant. Seit der DSGVO musst du Besucher darüber informieren, dass Google reCAPTCHA eingesetzt wird. In deiner Datenschutzerklärung. Pflicht.

Um reCAPTCHA DSGVO-konform einzusetzen, brauchst du einen Hinweis in der Datenschutzerklärung – was reCAPTCHA ist, welche Daten verarbeitet werden, auf welcher Rechtsgrundlage. Viele Datenschutz-Experten empfehlen, reCAPTCHA erst nach Einwilligung zu laden – per Cookie-Banner. Manche Content Blocker und Consent-Tools blockieren reCAPTCHA automatisch, bis der Besucher zustimmt. Das kann dazu führen, dass reCAPTCHA nicht mehr funktioniert und das Formular eine Fehlermeldung zeigt.

Alternativen, die ohne Google auskommen: hCaptcha oder Friendly Captcha. Beide lassen sich per Plugin in WordPress einbinden und sind datenschutzfreundlicher. Wenn dir DSGVO-Konformität besonders wichtig ist und du kein Google-Produkt laden willst – das sind die Optionen. Aber für die meisten Seiten reicht reCAPTCHA v3 mit einem sauberen Datenschutzhinweis.

 

Wie entfernst du das reCAPTCHA-Badge auf deiner Seite?

Das kleine reCAPTCHA-Logo unten rechts. Manche finden es störend. Besonders auf minimalistische Themes passt es nicht.

Google erlaubt das Ausblenden des Badges – unter einer Bedingung: Du musst einen Hinweis in der Nähe des Formulars anzeigen. Googles Vorgabe: „This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.“ Auf Deutsch: „Diese Website wird durch reCAPTCHA geschützt. Es gelten die Datenschutzerklärung und Nutzungsbedingungen von Google.“

Den Badge per CSS ausblenden:

.grecaptcha-badge {
    visibility: hidden;
}

Das in den Customizer oder die style.css deines Themes einfügen. Der Badge verschwindet. Den Texthinweis unter dem Formular platzieren – per HTML direkt im Contact Form 7 Editor. Fertig. Sauber, DSGVO-konform, ohne störendes Element im Webdesign.

 

Was tun, wenn reCAPTCHA nicht funktioniert?

Passiert. Meistens liegt’s an den Keys oder an einem Konflikt.

Problem: Formular sendet nicht. Fehlermeldung: „There was an error trying to send your message.“ Oder ein reCAPTCHA-Error. Prüfe: Stimmen Site Key und Secret Key? Hast du v3-Keys eingetragen, obwohl du v2 gewählt hast (oder umgekehrt)? Die Keys müssen zur gewählten Version passen.

Problem: reCAPTCHA lädt nicht. Oft ein Caching-Problem. Dein Cache-Plugin liefert eine statische Seite ohne das reCAPTCHA-Script. Cache leeren, testen. Oder einen Content Blocker auf der Besucher-Seite – der blockiert Google-Scripts. Auch manche Cookie-Consent-Tools können reCAPTCHA nicht mehr laden lassen, bis der Besucher zustimmt.

Problem: Zu viele False Positives. reCAPTCHA v3 blockiert echte Besucher, weil der Score zu niedrig ist. Das passiert manchmal bei VPN-Nutzern oder bei bestimmten Browsern. Leider lässt sich der Schwellenwert in Contact Form 7 nicht direkt einstellen. Wenn das häufig passiert: Alternative Captcha-Lösung in Betracht ziehen. Oder ein Plugin wie Flamingo nutzen, das alle Eingaben speichert – auch die geblockten – damit nichts verloren geht.

 

Gibt es Alternativen zu reCAPTCHA für Contact Form 7?

Ja. Und manche sind sogar besser – je nach Anforderung.

hCaptcha ist die populärste Alternative. Datenschutzfreundlicher als Google reCAPTCHA, funktioniert ähnlich. Es gibt ein Plugin, das hCaptcha mit Contact Form 7 verbindet. DSGVO-konform ohne großes Kopfzerbrechen.

Honeypot-Methode: Ein unsichtbares Feld im Formular. Menschen sehen es nicht. Bots füllen es aus. Wenn das Feld ausgefüllt ist, wird die Nachricht blockiert. Kein externer Dienst, keine API-Keys, kein Datenschutzproblem. Das Plugin Honeypot for Contact Form 7 macht genau das. Nicht so robust wie reCAPTCHA gegen ausgefeilte Bots – aber für die meisten Seiten ausreichend.

Quiz-Captcha: Eine einfache Frage – „Was ist 3 plus 4?“ – die der Besucher beantworten muss. Kein Google, keine externe Anbindung. Lässt sich direkt in Contact Form 7 per Shortcode-Tag einbauen. Primitiv, aber effektiv gegen Standard-Bots. Captchas müssen nicht immer high-tech sein.

 

FAQ: Häufige Fragen zu Contact Form 7 und reCAPTCHA

Muss ich reCAPTCHA für jedes Formular einzeln einrichten? Nein. Sobald du die Keys in Contact Form 7 hinterlegt hast, gilt reCAPTCHA für alle Formulare automatisch. Global, nicht pro Formular.

Funktioniert reCAPTCHA auch mit der Pro-Version von Contact Form 7? Ja. Die Integration funktioniert mit der kostenlosen und der erweiterten Version. Auch Plugins wie Google Maps oder andere Integrationen stören nicht – reCAPTCHA arbeitet unabhängig davon.

Kann ich reCAPTCHA wieder deaktivieren? Ja. Unter Contact → Integration die Keys entfernen und speichern. Dann ist reCAPTCHA nicht mehr aktiv. Kein Spamschutz, aber auch keine Google-Scripts mehr auf deiner Seite.

Ist reCAPTCHA v3 wirklich unsichtbar? Ja – bis auf das Badge unten rechts. Das kannst du wie oben beschrieben per CSS ausblenden. Der Besucher merkt von der Prüfung nichts. Kein Klicken, kein Wählen, kein Warten.

 

Das Wichtigste auf einen Blick

  • reCAPTCHA v3 ist die empfohlene Version – unsichtbar, ohne Nutzer-Interaktion, Score-basiert.
  • Contact Form 7 hat ab Version 5.1 eine native reCAPTCHA-Integration – kein Zusatz-Plugin nötig.
  • API-Keys bekommst du unter google.com/recaptcha/admin – Site Key und Secret Key.
  • Keys in Contact Form 7 unter Contact → Integration eintragen – fertig.
  • DSGVO: Datenschutzerklärung anpassen, ggf. reCAPTCHA per Consent-Tool laden.
  • Badge ausblenden per CSS – aber Hinweistext unter dem Formular anzeigen (Google-Vorgabe).
  • reCAPTCHA v2 (Checkbox) braucht ein Zusatz-Plugin für CF7.
  • Alternativen: hCaptcha, Honeypot, Quiz-Captcha – datenschutzfreundlicher, weniger abhängig von Google.
  • Bei Problemen: Keys prüfen, Cache leeren, Content Blocker testen.
  • reCAPTCHA schützt zuverlässig vor Spam-Bots – und dein Postfach vor Müll.

 

Formulare, reCAPTCHA, DSGVO – du kümmerst dich um jedes Detail.

Das ist gut. Aber vielleicht ist jetzt der Moment, das Ganze einer Agentur zu übergeben, die diese Details von Anfang an richtig macht.

Webdesign Mainz

 

Tharsan Parameswaran

Tharsan ist Mitgründer von Digital Leap. Der Hintergrund ist BWL, die Skills hat er sich selbst beigebracht – Programmieren, SEO, Google Ads. Seit knapp 10 Jahren selbstständig, heute liegt sein Fokus auf Suchmaschinenoptimierung, bezahlter Werbung und dem kaufmännischen Rückgrat der Agentur. Er sorgt dafür, dass Websites nicht nur gefunden werden – sondern dass daraus echte Anfragen werden.

Von Tharsan Parameswaran

Am 15. April 2020

Thema #Kontaktformulare, #WordPress Plugins & Formulare

Inhaltsverzeichnis

Weitere Artikel

„Es gab einen kritischen Fehler" in WordPress beheben: So löst du Fehler auf deiner Website Schritt für Schritt

Du rufst deine Seite auf – und statt deiner Inhalte erscheint nur dieser eine Satz: „Es gab einen kritischen Fehler auf dieser Website.“ Kein Backend, kein Frontend, nichts. Einfach Schwarz. Das ist ein WordPress kritischer Fehler. Unangenehm, aber in den meisten Fällen lösbar – wenn du weißt, wo du hinschauen musst. In diesem Guide zeige […]

WordPress Anker setzen: Anleitung für Ankerlinks, Sprungmarken & Inhaltsverzeichnis erstellen

Du hast eine lange Seite in WordPress – und niemand scrollt bis ganz unten. Du willst, dass Besucher direkt beim richtigen Abschnitt landen, statt sich durch alles durchzuarbeiten. Dafür sind Ankerlinks da. Wer einmal verstanden hat, wie man in WordPress Anker setzen kannst, hat ein echtes Werkzeug in der Hand: Inhaltsverzeichnisse, Onepager-Navigation, Buttons, die gezielt […]

WordPress Papierkorb: Gelöschte Beiträge & Seiten wiederherstellen, automatisch löschen oder dauerhaft leeren

Du hast einen Beitrag gelöscht. Und jetzt ist er weg. Oder du suchst eine Seite und findest sie einfach nicht mehr. Bevor du in Panik verfällst: Wahrscheinlich steckt sie im WordPress Papierkorb. Wer versteht, wie der Papierkorb in WordPress funktioniert, spart sich Nerven – und vermeidet Datenverluste, die sich eigentlich verhindern lassen. Dieser Guide zeigt […]

icon telefon single lime Jetzt anrufen icon mail single lime Erstgespräch anfragen