wir haben seit ein paar Tagen das Problem, dass unser Kontaktformular auf unserer Seite (Bild 1) von russischen Absendern ausgenutzt wird. Wir versenden die Ware nur nach Deutschland und Österreich, sodass die aus Russland keine Relevanz haben. (Und die Nachricht hat auch keine Relevanz für unseren Shop)
Ich finde es seltsam, dass sie die Kontaktformular direkt auf unserer Seite nutzen und nicht an unsere Mailadresse direkt verschicken.
Kann man solche Besucher blockieren? Oder kann man etwas dagegen tun, dass unsere Kontaktformular ausgenutzt wird? Kann es zukünftig gefährlich sein?
Private Daten ohne Einwilligung hier im Forum zu veröffentlichen verstößt gegen die DSGVO. Unabhängig davon, ob du die Daten als Spam ansiehst oder nicht.
Ich verstehe nicht wirklich, was in diesem Kontext das Wort „ausnutzen“ bedeuten soll. Das Kontaktformular kann jeder Besucher ausfüllen und senden. Wenn du bestimmte Gruppen davon ausschließen möchtest, musst du mit Geoblocking, Domain-Blacklist, etc. arbeiten. Nichts was in Shopware im Standard integriert wäre.
So lange du Shopware und deine Hosting-Umgebung stets aktuell hältst besteht keine Gefahr.
@backtraum1
Wie @Max_Shop schon sagt es gibt immer verschiedene Möglichkeiten was dagegen zu tun. Wenn du nicht täglich solche Mails bekommst würde ich es ehrlich gesagt einfach ignorieren - nur wenn es überhand nimmt weiter recherchieren und Lösungen suchen.
Für den Anfang - Hast du ein Captcha oder den Honeypot aktiviert? Falls nicht würde ich damit beginnen und schauen ob es besser wird.
Hallo, vielen Dank für deine Antwort. Ja, Honeypot war immer aktiviert.
Ich werde es erstmal igonolieren und wenn es zu viel wird, werde ich nach Lösungen suchen.
Hallo,
ich habe es hier schon einige Male empfohlen, installiert das Plugin Captcha von Moori und es ist Ruhe. Der Honeypot bringt hier nichts.
Der normale, voreingestellte Timeout Modus hat bei mir bisher immer gereicht. Seit ich das Plugin habe, gab es auch nie mehr Fake Registrierungen.
Ich bekomme seit paar Tagen auch immer mehr solche Emails. Heute waren es mindestens 20.
Fühlt sich an als wäre der Shop gehackt.
Ich wollte schon die Kontakt Landingpage duplizieren (quasi damit ich eine Sicherheitskopie davon habe), geht leider nicht.
Beim Duplizierversuch kommt eine Fehlermeldung „Ein Fehler ist aufgetreten“
Bei uns auch seit gestern Müll im Kontaktformular, entweder russische Schriftzeichen bzw. 1x antisemitische Inhalte. Vielleicht eine gezielte Bot-Attacke auf Shopware-Shops?
Shopware nutzt 0815 HTML form Elemente, wie jede andere Website auch, bspw. WordPress. Das hat rein gar nichts mit Shopware zu tun. Da scheint lediglich ein Bot aktiv zu sein, der ggf. Millionen von Domains beglückt.
Wie oben schon erwähnt, nicht nur auf Honeypot verlassen und es ist Ruhe. Hat bei uns geklappt letztes Jahr. War aber die Registrierung wo am Tag zwischen 8 und 20 Stk. reinflatterten. Diverse IPs und vom Namen abgesehen reale Adressen ausserhalb der EU.
Wir haben Honeypot bisher genutzt. Kann Honeypot hier noch verbessert werden (Aufgabe von Shopware) oder sollte man z.B. auf Friendly Captcha umsteigen? Was bringt es hier mehrere Captchas zu nutzen? Shopware nutzt ja hier ein Multiselect Feld, also mehrere sollten möglich sein zeitgleich zu aktivieren.
Da Friendly Captcha was kostet: hat jemand gute Erfahrung mit Google reCAPTCHA v3 gemacht?
In Shopware 5 konnte man einstellen, dass nach dem Login Captchas ausgeblendet werden. Was ist mit dieser Funktion in Shopware 6? Eingeloggte Kunden möchte ich nicht damit belästigen ggf. einen Code eingeben zu müssen.
Moin,
klar kannst Du mehrere verwenden, bei uns laufen Honeypot und normales Captcha parallel.
Mit dem reCaptcha von Google hatten wir uns angeschaut, aber von der DSGVO Seite aus sind die für uns ein Alptraum. Daher gelassen.
Bzgl. Honeypot
Früher stand einfach im div Honeypot, konnte ein Bot leicht überspringen. Wurde etwas geändert siehe:
Kann nicht sagen für welche Version es war, aber nach kurzer Zeit ging es wieder los mit 6.5.8.7. Wenn ich etwas Zeit finde wollte ich mal probieren da selber etwas auszudenken. Oder hat das schon jemand probiert und mag seine Erfahrungen mitteilen ?
Wie Google und Co es auch machen: einfach ein JavaScript, bspw. ein Timer laufen lassen und erst danach das Senden des Formulars zulassen.
Zusätzlich kann der Mauszeiger oder die Input Selektion noch protokoliert werden. Gibt unendlich viele triviale Möglichkeiten Bots auszusperren. Diese senden in der Regel einfach nur das POST und bemühen sich nicht einmal das Formular auf der Website auszufüllen.
