Cloudflare Turnstile in WordPress einbauen – die Google ReCAPTCHA Alternative

Mit „Cloudflare Turnstile“ bietet Cloudflare uns Website-Betreibern eine fantastische Alternative zu der Google ReCAPTCHA Lösung.

​Eine (meistens) unsichtbare Prüfung, ob deine Formulare gerade wirklich von einem Menschen oder einem Bot ausgefüllt werden, bei der deine Nutzer absolut nichts machen müssen. Selbst wenn der Nutzer eingreifen muss, ist nur das Bestätigen einer Checkbox nötig.

In dieser Anleitung zeige ich dir, wie du Cloudflare Turnstile in WordPress einfügst, um deine WordPress, WooCommerce und andere Formulare vor Spam und Bots zu schützen.

Cloudflare Turnstile – eine Google ReCAPTCHA Alternative oder mehr vom Gleichen?

Dass Bots und dadurch Spam mit der Hilfe des Google ReCAPTCHA von Formularen ferngehalten werden können, ist ja seit Jahren die Standardlösung. Wenn du es nicht auf deiner Website nutzt, ist es dir sicherlich trotzdem in den Weiten des Internets begegnet.

Du weißt schon…

„Klicke alle Fahrräder an…“ und „Ich bin kein Roboter“.

Allerdings muss der Nutzer hier häufig aktiv werden, um den ReCAPTCHA zu bestehen und das Formular abzusenden.

Zudem gibt es mit Google ReCAPTCHA Bedenken bezüglich es Datenschutzes. Google nutzt beispielsweise eigene gesetzte Cookies aus der Google Suche, um den Nutzer als solchen auszumachen. Google sagt zwar, die Daten der ReCAPTCHAs nicht zu Werbezwecken zu nutzen, aber es ist nun mal Google – es ist nicht weit hergeholt zu denken, sie machen etwas mit diesen Daten.

Cloudflare Turnstile geht genau diese beiden Nachteile an und macht es besser:

• es ist meistens keine Nutzerinteraktion notwendig
• es werden keine Daten zu Werbezwecken gesammelt

Cloudflare Turnstile ist eine großartige Alternative zu der bekannten Lösung und schützt deine Formulare vor Bots, Spam und sonstigen automatisierten Bösewichten. Zudem erfordert es keine Eingabe des Nutzers und ist somit deutlich nutzerfreundlicher.

Ach ja, und es ist natürlich auch komplett kostenlos.

Für welche Formulare funktioniert Turnstile?

In den Einstellungen des Plugins kannst du festlegen, wo genau das Turnstile eingebaut werden soll. Die unterstützen Plugins und Formulare werden stetig erweitert, wie du auf der Seite des Plugins sehen kannst.

Aktuell werden die folgenden Formulare und Plugins unterstützt:

WordPress

• Login Form
• Registration Form
• Password Reset Form
• Comments Form
• WooCommerce

Checkout

• Pay For Order
• Login Form
• Registration Form
• Password Reset Form
• Form Plugins

WPForms

• Fluent Forms
• Contact Form 7
• Gravity Forms
• Formidable Forms
• Forminator Forms

Other Integrations

• Elementor Pro Forms
• Mailchimp for WordPress Forms
• BuddyPress Registration Form
• bbPress Create Topic & Reply Forms
• Ultimate Member Forms
• wpDiscuz Custom Comments Form

Cloudflare Turnstile in WordPress einbauen

Der Einbau geht in drei einfachen Schritten. Zunächst installieren wir das kostenlose „Simple Cloudflare Turnstile“ Plugin, anschließend erstellen wir einen Cloudflare-Account und verbinden ihn mit dem Plugin und abschließend aktivierst du Turnstile für die gewünschten Formulare.

1. Simple Cloudflare Turnstile installieren

Da das Simple Cloudflare Turnstile Plugin kostenlos im WordPress Pluginverzeichnis erhältlich ist, kannst du es wie üblich über das WordPress Backend installieren:

Klicke auf „Plugins“ → „Installieren“ und gib oben rechts in die Suche „Simple Cloudflare Turnstile“ ein.

Nun solltest du direkt das Plugin von Elliot Sowersby angezeigt bekommen, kannst es installieren und aktivieren.

2. Cloudflare API Keys erstellen

Wenn du noch keinen Cloudflare Account hast, kannst du ihn kostenlos erstellen. Klicke dazu hier und erstelle deinen kostenlosen Account.

Direkt nach dem Erstellen gelangst du in das Cloudflare Dashboard. Hier klickst du nun links im Menü auf „Turnstile“ und anschließend auf „Add Site“:

Gib nun den Namen der Website ein (er wird nur intern für dich genutzt) und anschließend die Domain der Website, auf der du Turnstile einfügen möchtest.

Du kannst nun zwischen drei verschiedenen Varianten von Turnstile wählen:

Verwaltet (meine Empfehlung)
Cloudflare prüft, ob anhand verschiedener Informationen festgemacht werden kann, dass der Nutzer ein Mensch ist. Wenn ja, sieht der Nutzer nichts von Turnstile. Wenn nein, wird der Nutzer aufgefordert, einen Haken zu setzen (keine Sorge, hier kommen keine Abfragen nach Schornsteinen oder Flugzeugen).

Nicht interaktiv
Es wird ein Widget gezeigt (wie oben in dieser Anleitung zu sehen), das eine Ladeanimation anzeigt, bis der Nutzer als Mensch verifiziert wurde.

Unsichtbar
Hier sieht der Nutzer gar nichts und Turnstile versucht im Hintergrund, den Nutzer zu verifizieren.

Ich würde dir zu „Verwaltet“ raten. Damit hast du die höchste Wahrscheinlichkeit, dass Bots abgefangen werden und gleichzeitig wird der Nutzer wirklich nur zu einer Handlung aufgefordert, wenn es gar nicht anders geht.

Klicke anschließend auf „Erstellen“:

Jetzt werden dir der Site-Key (Site-Schlüssel) und Secret Key (Geheimer Schlüssel) angezeigt. Diese brauchst du unbedingt im nächsten Schritt, lasse den Tab also offen oder sichere sie dir in einem externen Programm:

3. Website & Cloudflare verbinden

Navigiere jetzt in deinem WordPress Backend unter „Einstellungen“ → „Cloudflare Turnstile“.

Hier findest du alle Einstellungen zu dem Simple Cloudflare Turnstile Plugin und kannst die Verbindung zu Cloudflare per API Keys herstellen.

Trage jetzt in die Felder für „Site-Key“ und „Secret Key“ die Schlüssel aus dem letzten Schritt ein und speichere:

Nach dem Speichern wirst du aufgefordert, die Verbindung zu prüfen. Bis du das gemacht hast, wird kein Turnstile in deinen Formularen angezeigt.

4. Einstellungen zur Darstellung und dem Verhalten

Es gibt drei Einstellungen zum Aussehen und Verhalten des Cloudflare Turnstiles.

Theme
Wenn du ein helles Erscheinungsbild wünschst, wähle die Option „Light“. Alternativ kannst du für eine dunkle Darstellung auf „Dark“ wechseln oder auch „Auto“ wählen, wenn sich das Aussehen an der Geräteeinstellung des Nutzers orientieren soll.

Disable Submit Button
Setzt du hier den Haken, wird das Plugin den „Senden“-Button deaktivieren, bis die Prüfung durch Cloudflare Turnstile erfolgt ist.

Custom Error Message
Hier kannst du einen benutzerdefinierten Text einfügen, der dem Nutzer angezeigt wird, wenn er nicht als Mensch verifiziert wurde.

5. Cloudflare Turnstile für Formulare aktivieren

Scrollst du noch etwas weiter nach unten, findest du auf der Einstellungsseite die verschiedenen Formulare, die das Plugin auf deiner Website erkannt hat.

Du kannst nun die Haken bei den Formularen setzen, für die du die Turnstile-Abfrage aktivieren möchtest und anschließend deine Änderungen speichern:

Neben den klassischen WordPress Formularen unterstützt das Simple Cloudflare Turnstile Plugin eine Auswahl weiterer Plugins:

• WooCommerce
• Contact Form 7
• WPForms
• Gravity Forms
• Fluent Forms
• Formidable Forms
• Elementor Forms
• Mailchimp for WordPress
• BuddyPress
• bbPress
• Ultimate Member
• wpDiscuz

Ich hatte zudem Kontakt mit Elliot (dem Programmierer des Plugins) und er fügt gerne weitere Plugins hinzu, wenn sie von Nutzern gewünscht sind.

Ist Cloudflare Turnstile DSGVO-konform?

Disclaimer: Ich bin weder Anwalt noch Datenschutzbeauftragter, all die Informationen in diesem Artikel basieren auf meiner ausführlichen Recherche und meiner jahrelangen Erfahrung und sind ohne Gewähr auf Richtigkeit oder Vollständigkeit.

Wie üblich bei Funktionen, die eine Verbindung zu externen Servern herstellen, darfst du hier die Regelungen der DSGVO nicht vergessen.

Das Turnstile stellt eine Verbindung zum Server „challenges.cloudflare.com“ her. Diese externe Verbindung muss dem Nutzer mitgeteilt werden und du benötigst die Einwilligung.

Wie bei Google ReCAPTCHA auch, kann man diesen Dienst vermutlich als „Funktional“ festlegen. Wenn du allerdings möchtest, dass es keinen Weg um Turnstile herum gibt, musst du es als „Essenziell“ festlegen (denke hierbei an die rechtlichen Auswirkungen).

Da es in den gängigen Cookie-Banner-Plugins noch keine Vorlagen für Cloudflare Turnstile gibt, musst du die benötigten Daten selber hinterlegen.

Um dir das zu erleichtern, kannst du dich an diesen Daten orientieren, allerdings kann und möchte ich dir keine Garantie geben, dass sie aktuell und korrekt sind.

Name: Cloudflare Turnstile
Anbieter: Cloudflare Inc.
Zweck: Cloudflare Turnstile schützt Formulare vor Angriffen von Bots, indem der Nutzer vor Absenden des Formulars als Mensch verifiziert wird.
DSE des Anbieters: https://www.cloudflare.com/privacypolicy/

Cloudflare Turnstile setzt keine technischen Cookies.

So kann das also für deinen individuellen Service in Real Cookie Banner aussehen:

Du musst zudem mit einem Content Blocker die Verbindung zum Server von Cloudflare blockieren. Hinterlege im Content Blocker einen Namen für den Content Blocker und füge die folgende URL hinzu:

challenge.cloudflare.com

Verbinde den Content Blocker anschließend noch mit deinem vorher erstellten Service. Im Content Blocker bei Real Cookie Banner sieht das dann so aus:

Fazit

Cloudflare Turnstile ist eine perfekte Alternative zu Google reCAPTCHA. Mit dem kostenlosen Plugin „Simple Cloudflare Turnstile“ ist die Verbindung zu den Servern von Cloudflare schnell hergestellt. Alles, was du benötigst, ist ein kostenloser Cloudflare-Account und schon kannst du dir einen API Key generieren.

Cloudflare Turnstile ist deutlich unaufdringlicher als der gewohnte ReCAPTCHA und erfordert zudem in den meisten Fällen überhaupt keine Nutzerinteraktion.

Cloudflare verspricht zudem, möglichst datensparend vorzugehen. Sie schreiben selber: „Unlike other CAPTCHA options, we never harvest data for ad retargeting.“

In meiner Praxiserfahrung funktioniert das Turnstile super und blockt so gut wie alle Spam-Bots ab. Es ist definitiv eine Bereicherung!