CAPTCHA & Challenges
VisitorFilters bringt ein First-Party-CAPTCHA auf Proof-of-Work-Basis mit: Verdächtige Besucher lösen ein kleines Rechenrätsel, bevor sie durchkommen. Keine Bildraster, keine Anfragen an Dritte, kein Tracking.
So funktioniert das integrierte CAPTCHA
- Ein Besucher, der eine Challenge-Regel auslöst, wird zur Challenge-Seite geleitet, statt hart blockiert zu werden.
- Sein Browser löst automatisch ein kleines Rätsel im Hashcash-Stil — es gibt nichts zu lesen oder anzuklicken.
- Die Schwierigkeit passt sich dem Risiko-Score an: Besucher mit geringem Risiko sind in deutlich unter einer Sekunde durch, riskante Automatisierung zahlt echte Rechenkosten.
- Bei Erfolg erhält der Browser ein verschlüsseltes, replay-geschütztes und an den Besucher gebundenes Token; die Anfrage läuft normal weiter.
CAPTCHA in Regeln verwenden
Wählen Sie Challenge als Aktion einer beliebigen Regel, um das CAPTCHA statt einer harten Blockade zu zeigen. Zwei gängige Setups:
- Eigene Regeln — bestimmte Länder, ASNs, Pfade oder Rate-Verstöße challengen.
- Verwaltete Threat-Feed-Regel — ein Schalter challengt jeden Besucher, dessen IP auf dem verwalteten Threat-Intelligence-Feed steht.
In eigene Formulare einbetten
Dasselbe Widget kann unabhängig von Regeln Ihre eigenen Formulare schützen — Logins, Registrierungen, Kommentare. Der Ablauf:
- Kopieren Sie das Embed-Snippet für Ihre Website aus den CAPTCHA-Einstellungen des Dashboards; das Widget-Script kommt von unserem CDN.
- Das Widget rendert in Ihrem Formular und erzeugt ein Antwort-Token, wenn der Besucher besteht.
- Ihr Backend verifiziert das Token serverseitig am Site-Verify-Endpunkt, bevor es die Übermittlung akzeptiert.
Tokens sind Einweg-Tokens und laufen schnell ab — ein abgefangenes Token lässt sich nicht wiederverwenden.
Externe Anbieter
Sie bevorzugen einen Drittanbieter? Cloudflare Turnstile und hCaptcha lassen sich pro Website konfigurieren und statt des integrierten CAPTCHAs verwenden.
Datenschutz
- Während einer Challenge werden keine Anfragen an Dritte gestellt.
- Kein Verhaltenstracking, keine Werbe-IDs — das Rätsel ist reine Berechnung.
- Gleiche DSGVO-Haltung wie der Rest der Plattform.