Visitor Filters

CAPTCHA & Challenges

VisitorFilters bringt ein First-Party-CAPTCHA auf Proof-of-Work-Basis mit: Verdächtige Besucher lösen ein kleines Rechenrätsel, bevor sie durchkommen. Keine Bildraster, keine Anfragen an Dritte, kein Tracking.

So funktioniert das integrierte CAPTCHA

  1. Ein Besucher, der eine Challenge-Regel auslöst, wird zur Challenge-Seite geleitet, statt hart blockiert zu werden.
  2. Sein Browser löst automatisch ein kleines Rätsel im Hashcash-Stil — es gibt nichts zu lesen oder anzuklicken.
  3. Die Schwierigkeit passt sich dem Risiko-Score an: Besucher mit geringem Risiko sind in deutlich unter einer Sekunde durch, riskante Automatisierung zahlt echte Rechenkosten.
  4. Bei Erfolg erhält der Browser ein verschlüsseltes, replay-geschütztes und an den Besucher gebundenes Token; die Anfrage läuft normal weiter.

CAPTCHA in Regeln verwenden

Wählen Sie Challenge als Aktion einer beliebigen Regel, um das CAPTCHA statt einer harten Blockade zu zeigen. Zwei gängige Setups:

  • Eigene Regeln — bestimmte Länder, ASNs, Pfade oder Rate-Verstöße challengen.
  • Verwaltete Threat-Feed-Regel — ein Schalter challengt jeden Besucher, dessen IP auf dem verwalteten Threat-Intelligence-Feed steht.

In eigene Formulare einbetten

Dasselbe Widget kann unabhängig von Regeln Ihre eigenen Formulare schützen — Logins, Registrierungen, Kommentare. Der Ablauf:

  1. Kopieren Sie das Embed-Snippet für Ihre Website aus den CAPTCHA-Einstellungen des Dashboards; das Widget-Script kommt von unserem CDN.
  2. Das Widget rendert in Ihrem Formular und erzeugt ein Antwort-Token, wenn der Besucher besteht.
  3. Ihr Backend verifiziert das Token serverseitig am Site-Verify-Endpunkt, bevor es die Übermittlung akzeptiert.

Tokens sind Einweg-Tokens und laufen schnell ab — ein abgefangenes Token lässt sich nicht wiederverwenden.

Externe Anbieter

Sie bevorzugen einen Drittanbieter? Cloudflare Turnstile und hCaptcha lassen sich pro Website konfigurieren und statt des integrierten CAPTCHAs verwenden.

Datenschutz

  • Während einer Challenge werden keine Anfragen an Dritte gestellt.
  • Kein Verhaltenstracking, keine Werbe-IDs — das Rätsel ist reine Berechnung.
  • Gleiche DSGVO-Haltung wie der Rest der Plattform.