Cloudflare Turnstile in WordPress einbauen – die Google ReCAPTCHA Alternative

Jonas Tietgen

Mit “Cloudflare Turnstile” bietet Cloudflare uns Website-Betreibern eine fantastische Alternative zu der Google ReCAPTCHA Lösung.

​Eine (meistens) unsichtbare Prüfung, ob deine Formulare gerade wirklich von einem Menschen oder einem Bot ausgefüllt werden, bei der deine Nutzer absolut nichts machen müssen. Selbst wenn der Nutzer eingreifen muss, ist nur das Bestätigen einer Checkbox nötig.

In dieser Anleitung zeige ich dir, wie du Cloudflare Turnstile in WordPress einfügst, um deine WordPress, WooCommerce und andere Formulare vor Spam und Bots zu schützen.

Cloudflare Turnstile – eine Google ReCAPTCHA Alternative oder mehr vom Gleichen?

Dass Bots und dadurch Spam mit der Hilfe des Google ReCAPTCHA von Formularen ferngehalten werden können, ist ja seit Jahren die Standardlösung. Wenn du es nicht auf deiner Website nutzt, ist es dir sicherlich trotzdem in den Weiten des Internets begegnet.

Du weißt schon…

“Klicke alle Fahrräder an…” und “Ich bin kein Roboter”.

Google ReCaptcha Beispiel
Google ReCAPTCHA “Ich bin kein Roboter” – nervig und überall …

Allerdings muss der Nutzer hier häufig aktiv werden, um den ReCAPTCHA zu bestehen und das Formular abzusenden.

Zudem gibt es mit Google ReCAPTCHA Bedenken bezüglich es Datenschutzes. Google nutzt beispielsweise eigene gesetzte Cookies aus der Google Suche, um den Nutzer als solchen auszumachen. Google sagt zwar, die Daten der ReCAPTCHAs nicht zu Werbezwecken zu nutzen, aber es ist nun mal Google – es ist nicht weit hergeholt zu denken, sie machen etwas mit diesen Daten.

Cloudflare Turnstile geht genau diese beiden Nachteile an und macht es besser:

  • es ist meistens keine Nutzerinteraktion notwendig
  • es werden keine Daten zu Werbezwecken gesammelt
Cloudflare Turnstile Beispiel
Cloudflare Turnstile läuft meistens ohne Nutzerinteraktion und sammelt keine Daten zu Werbezwecken

Cloudflare Turnstile ist eine großartige Alternative zu der bekannten Lösung und schützt deine Formulare vor Bots, Spam und sonstigen automatisierten Bösewichten. Zudem erfordert es keine Eingabe des Nutzers und ist somit deutlich nutzerfreundlicher.

Ach ja, und es ist natürlich auch komplett kostenlos.

Cloudflare Turnstile in WordPress einbauen

Cloudflare Turnstile beim WordPress Login Formular

Der Einbau geht in drei einfachen Schritten. Zunächst installieren wir das kostenlose “Simple Cloudflare Turnstile” Plugin, anschließend erstellen wir einen Cloudflare-Account und verbinden ihn mit dem Plugin und abschließend aktivierst du Turnstile für die gewünschten Formulare.

1. Simple Cloudflare Turnstile installieren

Simploe Cloudflare Turnstile Plugin Headerbild

Da das Simple Cloudflare Turnstile Plugin kostenlos im WordPress Pluginverzeichnis erhältlich ist, kannst du es wie üblich über das WordPress Backend installieren:

Klicke auf “Plugins” → “Installieren” und gib oben rechts in die Suche “Simple Cloudflare Turnstile” ein.

Nun solltest du direkt das Plugin von Elliot Sowersby angezeigt bekommen, kannst es installieren und aktivieren.

2. Cloudflare API Keys erstellen

Wenn du noch keinen Cloudflare Account hast, kannst du ihn kostenlos erstellen. Klicke dazu hier und erstelle deinen kostenlosen Account.

Direkt nach dem Erstellen gelangst du in das Cloudflare Dashboard. Hier klickst du nun links im Menü auf “Turnstile” und anschließend auf “Add Site”:

Cloudflare Turnstile Seite hinzufügen

Gib nun den Namen der Website ein (er wird nur intern für dich genutzt) und anschließend die Domain der Website, auf der du Turnstile einfügen möchtest.

Du kannst nun zwischen drei verschiedenen Varianten von Turnstile wählen:

Verwaltet (meine Empfehlung)
Cloudflare prüft, ob anhand verschiedener Informationen festgemacht werden kann, dass der Nutzer ein Mensch ist. Wenn ja, sieht der Nutzer nichts von Turnstile. Wenn nein, wird der Nutzer aufgefordert, einen Haken zu setzen (keine Sorge, hier kommen keine Abfragen nach Schornsteinen oder Flugzeugen).

Nicht interaktiv
Es wird ein Widget gezeigt (wie oben in dieser Anleitung zu sehen), das eine Ladeanimation anzeigt, bis der Nutzer als Mensch verifiziert wurde.

Unsichtbar
Hier sieht der Nutzer gar nichts und Turnstile versucht im Hintergrund, den Nutzer zu verifizieren.

Ich würde dir zu “Verwaltet” raten. Damit hast du die höchste Wahrscheinlichkeit, dass Bots abgefangen werden und gleichzeitig wird der Nutzer wirklich nur zu einer Handlung aufgefordert, wenn es gar nicht anders geht.

Klicke anschließend auf “Erstellen”:

Cloudflare Turnstile Widget-Typen

Jetzt werden dir der Site-Key (Site-Schlüssel) und Secret Key (Geheimer Schlüssel) angezeigt. Diese brauchst du unbedingt im nächsten Schritt, lasse den Tab also offen oder sichere sie dir in einem externen Programm:

Cloudflare Turnstile API Schlüssel

3. Website & Cloudflare verbinden

Navigiere jetzt in deinem WordPress Backend unter “Einstellungen” → “Cloudflare Turnstile”.

Hier findest du alle Einstellungen zu dem Simple Cloudflare Turnstile Plugin und kannst die Verbindung zu Cloudflare per API Keys herstellen.

Trage jetzt in die Felder für “Site-Key” und “Secret Key” die Schlüssel aus dem letzten Schritt ein und speichere:

Verbindung zwischen Simple Cloudflare Turnstile und Cloudflare API

Nach dem Speichern wirst du aufgefordert, die Verbindung zu prüfen. Bis du das gemacht hast, wird kein Turnstile in deinen Formularen angezeigt.

4. Einstellungen zur Darstellung und dem Verhalten

Es gibt drei Einstellungen zum Aussehen und Verhalten des Cloudflare Turnstiles.

Theme
Wenn du ein helles Erscheinungsbild wünschst, wähle die Option “Light”. Alternativ kannst du für eine dunkle Darstellung auf “Dark” wechseln oder auch “Auto” wählen, wenn sich das Aussehen an der Geräteeinstellung des Nutzers orientieren soll.

Disable Submit Button
Setzt du hier den Haken, wird das Plugin den “Senden”-Button deaktivieren, bis die Prüfung durch Cloudflare Turnstile erfolgt ist.

Custom Error Message
Hier kannst du einen benutzerdefinierten Text einfügen, der dem Nutzer angezeigt wird, wenn er nicht als Mensch verifiziert wurde.

5. Cloudflare Turnstile für Formulare aktivieren

Scrollst du noch etwas weiter nach unten, findest du auf der Einstellungsseite die verschiedenen Formulare, die das Plugin auf deiner Website erkannt hat.

Du kannst nun die Haken bei den Formularen setzen, für die du die Turnstile-Abfrage aktivieren möchtest und anschließend deine Änderungen speichern:

Cloudflare Turnstile für gewisse Formulare aktivieren

Neben den klassischen WordPress Formularen unterstützt das Simple Cloudflare Turnstile Plugin eine Auswahl weiterer Plugins:

  • WooCommerce
  • Contact Form 7
  • WPForms
  • Gravity Forms
  • Fluent Forms
  • Formidable Forms
  • Elementor Forms
  • Mailchimp for WordPress
  • BuddyPress
  • bbPress
  • Ultimate Member
  • wpDiscuz

Ich hatte zudem Kontakt mit Elliot (dem Programmierer des Plugins) und er fügt gerne weitere Plugins hinzu, wenn sie von Nutzern gewünscht sind.

Ist Cloudflare Turnstile DSGVO-konform?

Disclaimer: Ich bin weder Anwalt noch Datenschutzbeauftragter, all die Informationen in diesem Artikel basieren auf meiner ausführlichen Recherche und meiner jahrelangen Erfahrung und sind ohne Gewähr auf Richtigkeit oder Vollständigkeit.

Wie üblich bei Funktionen, die eine Verbindung zu externen Servern herstellen, darfst du hier die Regelungen der DSGVO nicht vergessen.

Das Turnstile stellt eine Verbindung zum Server “challenges.cloudflare.com” her. Diese externe Verbindung muss dem Nutzer mitgeteilt werden und du benötigst die Einwilligung.

Wie bei Google ReCAPTCHA auch, kann man diesen Dienst vermutlich als “Funktional” festlegen. Wenn du allerdings möchtest, dass es keinen Weg um Turnstile herum gibt, musst du es als “Essenziell” festlegen (denke hierbei an die rechtlichen Auswirkungen).

Da es in den gängigen Cookie-Banner-Plugins noch keine Vorlagen für Cloudflare Turnstile gibt, musst du die benötigten Daten selber hinterlegen.

Um dir das zu erleichtern, kannst du dich an diesen Daten orientieren, allerdings kann und möchte ich dir keine Garantie geben, dass sie aktuell und korrekt sind.

Name: Cloudflare Turnstile
Anbieter: Cloudflare Inc.
Zweck: Cloudflare Turnstile schützt Formulare vor Angriffen von Bots, indem der Nutzer vor Absenden des Formulars als Mensch verifiziert wird.
DSE des Anbieters: https://www.cloudflare.com/privacypolicy/

Cloudflare Turnstile setzt keine technischen Cookies.

So kann das also für deinen individuellen Service in Real Cookie Banner aussehen:

Real Cookie Banner Service für Cloudflare Turnstile

Du musst zudem mit einem Content Blocker die Verbindung zum Server von Cloudflare blockieren. Hinterlege im Content Blocker einen Namen für den Content Blocker und füge die folgende URL hinzu:

challenge.cloudflare.com

Verbinde den Content Blocker anschließend noch mit deinem vorher erstellten Service. Im Content Blocker bei Real Cookie Banner sieht das dann so aus:

Content Blocker für Cloudflare Turnstile

Fazit

Cloudflare Turnstile ist eine perfekte Alternative zu Google reCAPTCHA. Mit dem kostenlosen Plugin “Simple Cloudflare Turnstile” ist die Verbindung zu den Servern von Cloudflare schnell hergestellt. Alles, was du benötigst, ist ein kostenloser Cloudflare-Account und schon kannst du dir einen API Key generieren.

Cloudflare Turnstile ist deutlich unaufdringlicher als der gewohnte ReCAPTCHA und erfordert zudem in den meisten Fällen überhaupt keine Nutzerinteraktion.

Cloudflare verspricht zudem, möglichst datensparend vorzugehen. Sie schreiben selber: “Unlike other CAPTCHA options, we never harvest data for ad retargeting.”

In meiner Praxiserfahrung funktioniert das Turnstile super und blockt so gut wie alle Spam-Bots ab. Es ist definitiv eine Bereicherung!


Jonas Tietgen

Dein WordPress Ninja mit 10+ Jahren Erfahrung, Gründer von WP Ninjas und SEO Nerd.

Jonas hilft Solopreneuren, ihre WordPress Websites selber überarbeiten, pflegen und optimieren zu können.

Schon seit er 14 ist, baut er Websites mit WordPress und arbeitet Jahren täglich mit WordPress. Dadurch hat er Erfahrung mit so ziemlich jedem Theme und Plugin, kennt WordPress auswendig und toppt das Ganze mit einer Liebe zu Webdesign (inklusive Webdesign-Studium) und SEO.

In über 120 Tutorials stellt er dir in seinem Blog sein gesamtes Wissen zur Verfügung, erweitert dein SEO-Wissen in seinem Search Effect Podcast und unterstützt dich in Coachings und über seinen beliebten Mitgliederbereich.

Abseits von WordPress nerdet Jonas gerne über Gesundheit ab, macht viel Krafttraining und weiteren Sport und baut immer wieder spannende Website-Projekte wie das HomeGym-HQ auf.


Schreibe einen Kommentar

Google Fonts lokal und DSGVO-konform laden - endlich Sicherheit!

46 Plugins & Tools, dank denen ich 20.000 Besucher monatlich bekomme!

Das WordPress Toolkit kostenlos für dich

Abonniere meine exklusiven WordPress Tipps, News und mein Experten-Wissen, das ich sonst nirgends teile!

 

...und sichere dir das WordPress Toolkit kostenlos!

Nach der Willkommenssequenz (5 Mails) kommen die E-Mails im Normalfall 1x / Woche. Du kannst dich natürlich jederzeit abmelden und bekommst keinen Spam! Datenschutz

46 Plugins & Tools, dank denen ich 20.000 Besucher monatlich bekomme!

Das WordPress Toolkit kostenlos für dich

Abonniere meine exklusiven WordPress Tipps, News und mein Experten-Wissen, das ich sonst nirgends teile!

 

...und sichere dir das WordPress Toolkit kostenlos!

Nach der Willkommenssequenz (5 Mails) kommen die E-Mails im Normalfall 1x / Woche. Du kannst dich natürlich jederzeit abmelden und bekommst keinen Spam! Datenschutz

WordPress Cookie Plugin von Real Cookie Banner