CAPTCHAs in Magento 1.7

Mit Version 1.7 nimmt sich Magento ein Problem zur Brust, das viele Website-Betreiber nur zu gut kennen: das Spamming über Webseiten-Formulare. Mit dem nächsten Release des Onlineshops können für verschiedene Formulare des Admin-Backends und des Webshop-Frontends CAPTCHAs aktiviert werden.

Für den Fall, dass jemand mit dem Begriff nichts anfangen kann: CAPTCHA steht für „Completely Automated Public Turing test to tell Computers and Humans Apart“. In 99 Prozent der Fälle sind das verschnörkelte Buchstaben, die man auf Websites eintippen muss.

Admin-Backend

Wer die CAPTCHA-Funktion für das Magento-Backend aktivieren möchte, klickt sich zum Menüpunkt System > Configuration > Advanced > Admin > CAPTCHA durch. Nachdem die Option „Enable CAPTCHA in Admin“ auf „Yes“ gestellt wurde, kommen neue Einstellungsmöglichkeiten zum Vorschein (siehe Screenshot):

Gehen wir die Punkte durch:

  • Font
    Die Schriftart, die für die Erzeugung der CAPTCHAs verwendet wird. Aktuell ist nur LinLibertine verfügbar.
  • Forms
    Hier wird festgelegt, welche Formulare mit CAPTCHAs versehen werden. Von den Backend-Formularen stehen das Login-Formular und das Passwort-Vergessen-Formular zur Auswahl. Zweiteres ist standardmäßig aktiviert. Wird „Admin Login“ ausgewählt, wird man nach dem Speichern ausgeloggt und muss das CAPTCHA eingebn.
  • Displaying Mode
    Eine sehr sinnvolle Funktion: soll das Captcha immer oder erst nach x fehlgeschlagenen Versuchen angezeigt werden? Wer sich für „After number of attempts to login“ entscheidet, kann die Anzahl im darauf folgenden Feld „Number of Unsuccessful Attempts to Login“ einstellen.
  • CAPTCHA Timeout (minutes)
    Für wie viele Minuten ist das CAPTCHA gültig?
  • Number of Symbols
    Bestimmt, wie viele Buchstaben angezeigt werden. Es kann auch ein von-bis-Wert angegeben werden (z.B. 6 bis 8 Zeichen).
  • Symbols Used in CAPTCHA
    Hier wird definiert, welche Zeichen im CAPTCHA vorkommen dürfen. Dieses Feature ist sehr sinnvoll, schließlich besteht bei einigen Zeichen (1 vs. I, 0 vs. O) je nach Schriftart akute Verwechslungsgefahr.
    Erlaubt sind nur alphanumerische Zeichen (A-Z, a-z, 0-9). Sonderzeichen (!, ?, …) sind nicht gestattet.
  • Case Sensitive
    Soll die Groß-/Kleinschreibung beachtet werden?

So sieht die CAPTCHA-Abfrage beim Login-Formular aus:

Kunden-Frontend

CAPTCHAs können nicht nur im Backend, sondern auch im Webshop-Frontend eingesetzt werden. Dazu ruft man den Menüpunkt System > Configuration > Customers > Customer Configuration > CAPTCHA auf.

Die weiteren Einstellungen werden wie oben nach Zustimmung zur Frage „Enable CAPTCHA on Frontend“ freigeschalten. Hier gleicht alles bis auf die Formularauswahl der Backend-Konfiguration:

Im Webshop können 5 Formulare mittels CAPTCHA geschützt werden:

  • Registrierung
  • Login
  • Passwort-Vergessen-Funktion
  • Bestellen als Gast (Checkout)
  • Registrierung während des Bestellvorgangs

Hier sehen wir als Beispiel das Registrierungsformular:

Fazit

Für die Nutzung dieses Features gibt es einige Pro- und Kontra-Argumente. Schön ist meiner Meinung nach, dass eine getrennte Konfiguration möglich ist und somit für den Administrationsbereich und den Kundenbereich unterschiedliche Sicherheitsstufen festlegbar sind. Zudem ist das Modul recht gut konfigurierbar. Wer mit groben Spam-Problemen zu kämpfen hat, könnte hier Verbesserungen feststellen.

Auf der anderen Seite muss man sich fragen, ob man dann am richtigen Hebel ansetzt. Tendenziell sollte man für möglichst geringe Eintrittshürden im Webshop sorgen. Da ist es oft besser, man riskiert Spam-Mails und setzt lieber einen guten Spam-Filter ein. Wie immer hängt es hier vom Einsatzzweck ab: werden die Formulardaten z.B. automatisiert in Datenbanktabellen geschrieben oder an anderen Stellen verarbeitet, wo ein Spam-Filtering nicht möglich ist, dann ist ein CAPTCHA vielleicht schon wieder gerechtfertigt.

Was auf jeden Fall noch fehlt ist die Option, das CAPTCHA auf der Kontaktseite und z.B. beim Rezensionen-Formular einzubinden. Gerade die eigenen sich nämlich auch für Spam.

Das könnte Ihnen auch gefallen...

11 Antworten

  1. Smorp sagt:

    Es gäbe ja auch weitere effektive Massnahmen statt CAPTCHAS um Mailformulare sicher zu machen.
    Vom Honeypot bis hin zur Überprüfung der Sendehäufigkeit pro User gäbe es wirkungsvolle Mittel statt der ungeliebten CAPTCHAS.

  2. Tim sagt:

    Leider gibt es kein CAPTCHA auf Kundenmeinungen.

  3. Wir haben unter folgendem Link ein Tutorial erstellt wie man Magentos Formulare um die bestehende CAPTCHA-Technik erweitert und spielen die Logik am Beispiel der „Send a friend“-Funktion durch.

    http://www.cartware.de/blog/detail/article/captcha-feature-aus-magento-17-in-eigenem-modul-einsetzen/

    Viel Spaß beim Einsatz der CAPTCHAs im Magento-Framework!

  4. atwix sagt:

    Thanks for great post, we also would like to shed the light on this amazing feature, you’re welcome to look through our article about native captcha for your form in Magento 1.7 here http://www.atwix.com/magento/captcha-in-magento/
    Hope it will be useful, feedback is warmly welcome!

  5. Read instructions
    Magento Enterprise native captcha for contact form
    http://razbakov.com/en/magento-native-captcha-for-contact-form/

  6. Anees sagt:

    Hi, I enabled this captcha for admin login and now I’m locked out of admin panel because captcha is not working. How can I disable captcha from cpanel?

  7. Hallo und Guten Tag,
    ich habe gerade CAPTCHA im ADMIN Backend aktiviert und komme nun leider nicht mehr ins Backend meines Shops :-(. Ich habe auch schon versucht ein neues Passwort anzulegen, aber auch da bin ich in einer Dauerschleife.

    Ich benutze die aktuellste Version von Magento 1.8
    Kann mir jemand bei der Problembeseitigung helfen?

    Danke und Grüße
    Stefan

    • Das Problem hat sich, wie auch immer, von allein erledigt.
      Ich mag es zwar nicht wenn die Dinge sich selbst reparieren aber in diesem Fall war es mir recht.

      Grüße
      Stefan

      • Hallo, ich konnte das Problem bei mir mit einer frischen CE 1.8-Installation leider nicht nachvollziehen. In der Situation kann ich nur auf die Klassiker verweisen: Cache löschen (ohne Backend-Zugang, indem man das Verzeichnis var/cache/ löscht) und sicherstellen, dass das Verzeichnis media/captcha von Magento angelegt und beschrieben werden kann.

  1. 15.12.2012

    […] CAPTCHAs sind verschnörkelte Buchstaben- und Zahlenfolgen, auf die man bei Web-Formularen immer wieder stößt. Sie sollen Shopbetreiber vor Unmengen an Spam-Mails schützen. Die Option, CAPTCHAs in diversen Backend- und Frontend-Formularen einzubinden, wurde ebenfalls mit Magento 1.7 in Magento integriert (siehe CAPTCHAs in Magento 1.7). […]