In älteren Versionen von XT-Commerce werden über das Kontaktformular Spammails verschickt. In einem extremen Fall waren das bei dem Webshop eines Kunden tausende Mails pro Tag. Die Herausfilterung nach den täglichen Bestellungen wurde dadurch zur Suche nach der Nadel im Heuhaufen. Nachdem einige Möglichkeiten erfolglos verworfen wurden bestand die kurzfristige Lösung darin, dass wir das XT-Commerce Kontaktformular entfernen wollten.
Es wurde empfohlen auf die neuste XT Version upzugraden. Das ist in unserem Fall für den Kunden kein Thema, weil ein größerer Relaunch ansteht. In der offiziellen Dokumentation habe ich keine Hinweise zur Formulardeaktivierung gefunden. Und auch nicht im Forum. Also habe ich mich auf die Suche nach einer schnellen Lösung gemacht, ohne das Shoptemplate selbst ändern zu müssen.
reCAPTCHA Schutz vor ungewollten Formulareingaben
Es lässt sich in XT-Commerce ein Google reCAPTCHA Plugin installieren, welches dann das Formular schützen soll. Man muß sich bei Google registrieren und bekommt zwei Schlüsselcodes (Websiteschlüssel und geheimer Schlüssel) mitgeteilt, die man in den Konfigurationseinstellungen des Plugins hinterlegen muß.
In unserem Fall kamen trotz des nun verwendeten reCAPTCHA immer noch zuviel Spameinträge an. In einigen Forenbeiträgen wird vermutet, dass erst die reCAPTCHA Version V3 erhebliche Verbesserungen bringt. Das ist nicht richtig. V2 und V3 bieten etwa den gleichen Schutz. Sie stellen nur auf unterschiedlichen Wegen fest, dass der User ein Mensch ist. V2 arbeitet mit ausfüllbaren Feldern. V3 analysiert das Benutzerverhalten mit einem Scoringsystem unsichtbar im Hintergrund und leitet daraus ab, ob es sich um einen Menschen oder eine Maschine handelt. Mehr zu Google Recaptcha.
Honeypot Formularfelder zur Rausfilterung von Boteingaben
In einem Thread bin ich auf den Hinweis gestossen, dass in XT-Commerce ein Honeypot installiert werden kann. Eine Methode, die häufig in Kontaktformularen genutzt wird und unsichtbare Felder bereitstellt, die ein User nicht sieht, aber ein Bot ausfüllt. Durch diese Einträge merkt das System dass es sich um keinen menschlichen User handelt. XT-Commerce bietet ein Plugin an, welches erst ab der Version 6.x installierbar ist. In unserem Fall funktionierte das nicht, weil unsere Version 5.x zu alt war.
Schnelle Lösung um das XT-Commerce Kontaktformular zu entfernen
- Per FTP greift man auf den Server zu und navigiert zu dem Ordner xtCore/forms/. Dort kann das Kontaktformular dann umbenannt oder gelöscht werden.
2. Die Umbenennung sorgt dafür, dass das Formular nicht mehr geladen wird. Man kann anschließend den Code automatisiert nach der Formularverknüpfung (contact.php) durchsuchen und diese Verlinkung dann entsprechend auskommentieren oder entfernen. Ansonsten verbleibt die fehlerhafte Verlinkung in der Datenstruktur.
