Wer WordPress betreibt und Spam in den Kommentaren, an der Anmeldung oder im Kontaktformular abwehren will, greift fast reflexhaft zum erstbesten reCAPTCHA-Plugin. Eingerichtet in fünf Minuten, und es tut, was es soll. Der Preis fällt erst später auf: ein Cookie-Banner vor dem Formular, eine Datenübermittlung in die USA und seit dem 2. April 2026 die volle Verantwortlichkeit allein bei Ihnen.
Es geht auch ohne diesen Preis. Das captchaapi.eu-Plugin steht jetzt im offiziellen WordPress-Verzeichnis, schützt dieselben Formulare und kommt dabei ohne Cookies, ohne Drittlandübermittlung und ohne eine Zeile Code aus.
Die kurze Antwort
Sie installieren das Plugin aus dem WordPress-Verzeichnis, tragen zwei Schlüssel aus Ihrem Dashboard ein und wählen aus, welche Formulare geschützt werden sollen. Das war es. Kein Cookie-Banner, weil das Plugin keine Cookies setzt. Keine Transferprüfung, weil keine Besucherdaten die EU verlassen. Der Schutz selbst ist ein Proof of Work: Der Browser des Besuchers löst im Hintergrund ein kleines Rechenrätsel, während er das Formular ausfüllt - es gibt nichts anzuklicken und keine Verkehrsampeln zu suchen.
Tiefer einsteigen: Warum reCAPTCHA datenschutzrechtlich Cookie-Banner und US-Transfer auslöst, steht ausführlich im Beitrag reCAPTCHA-Alternative: DSGVO-konform und EU-gehostet. Dieser Beitrag bleibt bei WordPress.
Was das Plugin schützt
Das Plugin sichert die Formulare ab, über die auf einer WordPress-Seite tatsächlich Spam hereinkommt:
- Anmeldung (
wp-login.php) - Registrierung
- Passwort zurücksetzen
- Kommentare
- Contact Form 7
Jede dieser Oberflächen lässt sich einzeln in den Einstellungen ein- und ausschalten. Contact Form 7 erscheint nur dann als Option, wenn das Contact-Form-7-Plugin auf Ihrer Seite aktiv ist.
Wichtig ist, was nicht dabei ist, denn ich verspreche hier lieber zu wenig als zu viel: In dieser ersten Version sind WooCommerce und andere eigene Anmeldeformulare nicht abgedeckt, ebenso wenig die Netzwerk-Registrierung im Multisite-Betrieb. XML-RPC und die REST-Schnittstelle bleiben ebenfalls unberührt - der Schutz ist eine Rechenaufgabe im Browser, und ein Captcha kann eine Schnittstelle ohne Browser nicht absichern. Wer XML-RPC nicht nutzt, schaltet es am besten ohnehin separat ab.
In wenigen Minuten eingerichtet, ohne Code
Die Einrichtung läuft vollständig über das WordPress-Backend:
- Unter Plugins → Installieren nach „captchaapi.eu" suchen, installieren und aktivieren.
- Einstellungen → captchaapi.eu öffnen.
- Site-Key und Secret-Key aus Ihrem Projekt-Dashboard eintragen.
- Die zu schützenden Formulare auswählen und speichern.
Sie brauchen ein Konto bei captchaapi.eu, um an die beiden Schlüssel zu kommen. Der kostenlose Tarif reicht dafür aus, eine Kreditkarte ist nicht nötig.
Wenn Sie den Secret-Key bewusst aus der Datenbank heraushalten möchten, definieren Sie ihn stattdessen in der wp-config.php:
define( 'CAPTCHAAPI_SECRET_KEYS', 'ihr_secret_key' );
Bei einem Schlüsselwechsel listen Sie den alten und den neuen Schlüssel übergangsweise durch ein Komma getrennt auf. Pflicht ist dieser Schritt nicht, er ist ein Angebot für ein etwas strengeres Setup.
Wie der Schutz funktioniert
Drei Schritte, von denen der Besucher keinen bemerkt:
- Auf einer Seite mit geschütztem Formular lädt das Widget und löst sein Proof-of-Work-Rätsel in einem Web Worker.
- Beim Absenden hängt es eine kurzlebige, signierte Attestation an das Formular.
- Ihr Server prüft diese Attestation lokal mit Ihrem Secret-Key (ein HMAC-Abgleich) und weist die Übermittlung ab, wenn sie fehlt, gefälscht, abgelaufen oder bereits verwendet ist.
Entscheidend dabei: Beim Absenden geht keine Anfrage zurück an captchaapi.eu. Die Prüfung ist ein lokaler HMAC-Abgleich, der keinen zusätzlichen Netzwerk-Roundtrip kostet und auch dann noch funktioniert, wenn der Dienst kurz nicht erreichbar sein sollte.
Das Plugin verhält sich dabei bewusst streng: Liegt keine gültige Attestation vor, wird das Formular abgewiesen, statt es durchzuwinken. Das ist die sichere Voreinstellung gegen Spam, heißt aber auch, dass ein geschütztes Formular ein funktionierendes Widget voraussetzt.
Warum nicht einfach das reCAPTCHA- oder Turnstile-Plugin?
Beide funktionieren technisch, und beide holen sich denselben datenschutzrechtlichen Rucksack ins Haus. reCAPTCHA gehört Google, Turnstile gehört Cloudflare - beides US-Unternehmen. Damit sind je nach Einsatz eine Drittlandübermittlung und, im Fall von reCAPTCHA, ein Cookie-Banner im Spiel. Die ausführliche Begründung mit Rechtsprechung und Quellen steht in den Beiträgen zu reCAPTCHA und hCaptcha; die ganze Gegenüberstellung finden Sie auf der Vergleichsseite.
Der Unterschied in einem Satz: captchaapi.eu verarbeitet ausschließlich in der EU (Hetzner, Nürnberg), setzt keine Cookies und betreibt kein Fingerprinting - und zwar ab dem kostenlosen Tarif, nicht erst in einer Enterprise-Stufe.
Tarife
Der kostenlose Tarif umfasst 10.000 Anfragen pro Monat und erlaubt ausdrücklich die kommerzielle Nutzung. Für die meisten kleineren WordPress-Seiten reicht das aus. Wer mehr braucht, steigt bei 9 € im Monat (20.000 Anfragen) ein; darüber liegen Growth mit 29 € (100.000 Anfragen) und Business mit 79 € (500.000 Anfragen).
Über das Kontingent hinaus wird ein zahlender Tarif nicht hart blockiert, sondern mit unveränderter Schwierigkeit weiter bedient. Der Besucher Ihrer Seite hat den Tarif nicht ausgesucht und soll die Folgen eines erschöpften Kontingents auch nicht ausbaden.
Loslegen
Das Plugin liegt im WordPress-Verzeichnis und ist in wenigen Minuten ohne Code eingerichtet. Die beiden Schlüssel holen Sie sich aus einem kostenlosen Konto.
captchaapi.eu wird von Vladislav Rajtmajer in Pilsen (Tschechien) gebaut und betrieben, EU-gehostet bei Hetzner in Nürnberg. Das WordPress-Plugin ist quelloffen (GPLv2 oder später) und verbindet sich mit dem captchaapi.eu-Dienst, um Ihre Formulare zu schützen. Stand: Juni 2026. Dieser Beitrag ist keine Rechtsberatung.