Was ist ein Captcha? Typen, Funktionsweise und Alternativen

Ein Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) ist ein Challenge-Response-Test auf Websites, der Menschen von automatisierten Bots unterscheidet. Der Begriff wurde 2003 von Luis von Ahn, Manuel Blum, Nicholas J. Hopper und John Langford an der Carnegie Mellon University geprägt. Moderne Captchas umfassen Google reCAPTCHA v2 (Bildraster), reCAPTCHA v3 (unsichtbares Scoring), hCaptcha und Cloudflare Turnstile; datenschutzfreundliche Alternativen sind Honeypot-Felder und Zeit-basierte Formularanalyse.

Wie funktioniert ein Captcha?

Ein Captcha stellt eine Aufgabe, die für Menschen einfach, für Software aber schwer ist: verzerrten Text erkennen, Bilder mit Ampeln auswählen oder — bei unsichtbaren Captchas — im Hintergrund Mausbewegung, Cookies, Browser-Fingerprint und IP-Reputation analysieren. Der Server akzeptiert das Formular nur, wenn das Captcha-Token erfolgreich gegen die Provider-API validiert wird.

Welche Captcha-Typen gibt es 2026?

1. Text-Captcha — verzerrte Buchstaben; seit ca. 2014 von OCR geknackt, weitgehend veraltet.
2. Bild-Captcha (reCAPTCHA v2) — "Wähle alle Felder mit Bussen", eingeführt 2014.
3. Checkbox-Captcha — "Ich bin kein Roboter", Teil von reCAPTCHA v2 seit 2014.
4. Unsichtbar / Score-basiert (reCAPTCHA v3) — läuft im Hintergrund, liefert Score 0.0–1.0; eingeführt Oktober 2018.
5. hCaptcha — datenschutzorientierte Alternative seit 2018, 2020–2023 von Cloudflare genutzt.
6. Cloudflare Turnstile — unsichtbar, keine Labeling-Aufgaben, GA September 2023.
7. Mathe-/Frage-Captcha — einfache Rechenaufgaben ("2 + 3 = ?"), in WordPress-Plugins verbreitet.
8. Slider-/Puzzle-Captcha — Puzzleteil an die richtige Position ziehen.

Warum ein Captcha auf einer WordPress-Seite einsetzen?

• Spam-Schutz auf Kontaktformularen, Kommentaren und Registrierung (Akismet allein reicht bei neueren Bots nicht).
• Brute-Force-Abwehr auf wp-login.php und WooCommerce-Login.
• Credential Stuffing mit geleakten Passwörtern eindämmen.
• Scraper abwehren bei Preislisten, Verzeichnissen und Lead-Formularen.

Welche Nachteile haben Captchas?

• Barrierefreiheit: visuelle Aufgaben blockieren Screenreader-Nutzer; WCAG 2.2 verlangt eine Audio- oder nicht-visuelle Alternative.
• Datenschutz: Google reCAPTCHA lädt Skripte von google.com auf jeder Seite und sammelt IP, Cookies und Browserdaten. Deutsche Datenschutzbehörden verlangen dafür eine ausdrückliche Einwilligung nach DSGVO.
• Conversion-Verlust: Stanford-/Baymard-Studien schätzen 3,2–29 % Formularabbrüche durch Captchas.
• Performance: reCAPTCHA fügt rund 200 KB JavaScript pro Seite hinzu.
• Lösbar durch KI: seit 2023 lösen GPT-4-Klasse-Modelle die meisten Bild-Captchas in Sekunden.

Welche datenschutzfreundlichen Alternativen gibt es?

• Honeypot-Feld — ein verstecktes Eingabefeld, das nur Bots ausfüllen.
• Zeit-basierte Prüfung — Formulare, die in unter 2–3 Sekunden abgeschickt werden, ablehnen.
• Cloudflare Turnstile — keine Labels, keine Cookies, DSGVO-freundlicher als reCAPTCHA.
• Friendly Captcha — Proof-of-Work im Browser, in der EU gehostet.
• Rate Limiting — IPs nach N Versuchen pro Minute sperren.

Was prüft InspectWP?

InspectWP erkennt Google reCAPTCHA, hCaptcha und Cloudflare Turnstile über die geladenen Skripte und meldet sie unter DSGVO (Google-Skripte) sowie Sicherheit. Außerdem wird fehlender Brute-Force-Schutz auf wp-login.php markiert.