Kompatibilität von Sicherheits-Plugins mit Easy Form Builder

Posted byhassan

Wenn Benutzer beim Absenden von Formularen 403-Forbidden-Fehler erhalten, ist sehr wahrscheinlich ein Sicherheits-Plugin auf Ihrer WordPress-Website die Ursache. Diese Anleitung erklärt, warum das passiert und wie Sie das Problem für die wichtigsten Sicherheits-Plugins beheben.

Inhaltsverzeichnis

  1. Warum Sicherheits-Plugins Formularübermittlungen blockieren können
  2. So prüfen Sie, ob ein Sicherheits-Plugin die Ursache ist
  3. Häufige Ursachen
  4. Lösung nach Plugin
  5. Allgemeine Lösung für jedes Sicherheits-Plugin
  6. Wie Easy Form Builder Sicherheits-Plugins erkennt
  7. Häufig gestellte Fragen

Warum Sicherheits-Plugins Formularübermittlungen blockieren können

Easy Form Builder verwendet die WordPress-REST-API, um Formulare zu übermitteln. Wenn ein Besucher ein Formular ausfüllt und auf „Senden“ klickt, sendet der Browser eine POST-Anfrage an einen REST-API-Endpunkt (/wp-json/...) und übergibt dabei einen Sicherheitstoken über den HTTP-Header X-WP-Nonce.

Sicherheits-Plugins sind wichtig für den Schutz Ihrer Website. Sie können diese Kommunikation jedoch in bestimmten Konfigurationen blockieren:

Verhalten des Sicherheits-PluginsAuswirkung auf Easy Form Builder
Die REST-API wird für nicht angemeldete Benutzer deaktiviertAnonyme Besucher können keine Formulare absenden → 403-Fehler
Der Header X-WP-Nonce wird blockiert oder entferntDie Nonce-Prüfung schlägt fehl → 403-Fehler
WAF-Regeln, also Regeln der Web Application Firewall, stufen Formulardaten als verdächtig einDie Anfrage wird blockiert, bevor sie WordPress erreicht → 403-Fehler
Login-Schutz oder Rate Limiting wird auf POST-Anfragen angewendetDie Formularübermittlung wird wie ein Brute-Force-Versuch behandelt → 403-Fehler
REST-API-Endpunkte werden vollständig deaktiviertAlle Formularübermittlungen schlagen fehl

So prüfen Sie, ob ein Sicherheits-Plugin die Ursache ist

Schritt 1: Öffnen Sie die Entwicklerwerkzeuge Ihres Browsers mit F12 und wechseln Sie zum Tab Netzwerk bzw. Network.

Schritt 2: Senden Sie ein Formular auf Ihrer Website ab.

Schritt 3: Suchen Sie nach einer fehlgeschlagenen Anfrage an eine URL, die /wp-json/ enthält. Wenn der Statuscode 403 lautet, blockiert sehr wahrscheinlich ein Sicherheits-Plugin die Anfrage.

Schritt 4: Deaktivieren Sie Ihr Sicherheits-Plugin vorübergehend und testen Sie die Formularübermittlung erneut. Wenn das Formular danach funktioniert, ist das Sicherheits-Plugin als Ursache bestätigt.

Hinweis: Easy Form Builder zeigt außerdem einen Warnhinweis im WordPress-Adminbereich an, wenn ein bekanntes Sicherheits-Plugin erkannt wird, das Kompatibilitätsprobleme verursachen kann.

Häufige Ursachen

1. „REST-API für nicht angemeldete Benutzer deaktivieren“

Dies ist die häufigste Ursache. Viele Sicherheits-Plugins bieten eine Einstellung, mit der der Zugriff auf die REST-API auf angemeldete Benutzer beschränkt wird. Da Formularübermittlungen von anonymen Besuchern ebenfalls über die REST-API laufen, blockiert diese Einstellung alle Formularübermittlungen von Gästen.

Lösung: Fügen Sie den REST-API-Namespace von Easy Form Builder (efb/v1 oder emsfb/v1) zur Ausnahmeliste hinzu oder deaktivieren Sie diese Einschränkung vollständig.

2. Der Header X-WP-Nonce wird entfernt oder blockiert

Easy Form Builder übermittelt einen Nonce-Token über den HTTP-Header X-WP-Nonce, um Schutz vor CSRF-Angriffen zu bieten. Einige WAF-Regeln oder Header-Filter behandeln benutzerdefinierte Header als verdächtig und entfernen sie. Wenn die Nonce fehlt, weist WordPress die Anfrage mit einem 403-Fehler zurück.

Lösung: Konfigurieren Sie Ihr Sicherheits-Plugin oder Ihren Server so, dass der Header X-WP-Nonce bei REST-API-Anfragen zugelassen und nicht entfernt wird.

3. WAF-Regeln stufen Formulardaten als verdächtig ein

Regeln einer Web Application Firewall (WAF) können bestimmte Feldwerte im Formular als verdächtig einstufen, zum Beispiel Inhalte mit <>, SQL-Schlüsselwörtern oder Sonderzeichen. Dadurch kann die Anfrage blockiert werden.

Lösung: Erstellen Sie in den WAF-Einstellungen eine Ausnahmeregel für den REST-API-Endpunkt von Easy Form Builder.

4. Login-Schutz oder Rate Limiting

Einige Sicherheits-Plugins wenden strenge Begrenzungen nicht nur auf Login-Versuche, sondern auf alle POST-Anfragen an. Dadurch können Formularübermittlungen verhindert werden.

Lösung: Nehmen Sie den REST-API-Endpunkt von Easy Form Builder von den Rate-Limiting-Regeln aus.

Lösung nach Plugin

Wordfence

  1. Gehen Sie zu Wordfence → Firewall → Firewall Options.
  2. Fügen Sie unter Whitelisted URLs die folgenden Pfade hinzu: /wp-json/efb/ und /wp-json/emsfb/.
  3. Wenn Sie „Login Security“ mit Rate Limiting für REST-Endpunkte verwenden, erstellen Sie eine Ausnahme für den Namespace von Easy Form Builder.
  4. Gehen Sie zu Wordfence → All Options und stellen Sie sicher, dass „Disable the WordPress REST API“ nicht aktiviert ist oder dass nicht authentifizierter Zugriff für die Namespaces efb und emsfb erlaubt ist.

iThemes Security / Solid Security

  1. Gehen Sie zu Security → Settings → WordPress Tweaks.
  2. Suchen Sie die Einstellung REST API. Setzen Sie diese auf „Default WordPress API access“ und nicht auf „Restricted Access“.
  3. Wenn Sie REST-API-Einschränkungen beibehalten müssen, gehen Sie zu Security → Tools → IP Manager und erlauben Sie die von Easy Form Builder verwendeten API-Namespaces.

All In One WP Security & Firewall

  1. Gehen Sie zu WP Security → Firewall → Basic Firewall Rules.
  2. Suchen Sie „Disable REST API for non-logged-in users“ und deaktivieren Sie diese Option oder konfigurieren Sie sie so, dass der Namespace von Easy Form Builder erlaubt ist.
  3. Wenn Sie die 6G/7G Firewall verwenden, kann sie bestimmte Muster in POST-Anfragen blockieren. Fügen Sie eine Ausnahme für /wp-json/efb/ und /wp-json/emsfb/ hinzu.

Sucuri Security

  1. Melden Sie sich in Ihrem Sucuri Dashboard an, insbesondere wenn Sie die cloudbasierte WAF verwenden.
  2. Gehen Sie zu Firewall → Whitelist.
  3. Fügen Sie die URL-Pfade /wp-json/efb/ und /wp-json/emsfb/ zur Whitelist hinzu.
  4. Wenn Sie Sucuri-Regeln wie „Block PHP Files in Uploads“ oder ähnliche Regeln verwenden, stellen Sie sicher, dass diese REST-API-Anfragen nicht beeinträchtigen.

Shield Security

  1. Gehen Sie zu Shield Security → Config → WordPress REST API.
  2. Setzen Sie den REST-API-Zugriff auf „Default (WP Core)“ oder erstellen Sie eine benutzerdefinierte Regel, die die Namespaces efb und emsfb für alle Benutzer erlaubt.
  3. Wenn Silent Captcha oder Bot-Schutz aktiviert ist, stellen Sie sicher, dass REST-API-POST-Anfragen von Easy Form Builder ausgenommen werden. Easy Form Builder enthält eine integrierte Kompatibilität mit Shield Silent Captcha. Weitere Informationen finden Sie in den Plugin-Einstellungen unter Integrationen.

WP Cerber Security

  1. Gehen Sie zu WP Cerber → Anti-spam & Security Rules.
  2. Suchen Sie den Bereich REST API und stellen Sie sicher, dass nicht authentifizierter Zugriff auf die Namespaces efb und emsfb erlaubt ist.
  3. Fügen Sie unter Traffic Inspector Ausnahmen für die REST-API-Endpunkte von Easy Form Builder hinzu, damit Formulardaten nicht fälschlicherweise als schädlicher Traffic eingestuft werden.

Allgemeine Lösung für jedes Sicherheits-Plugin

Wenn Ihr Sicherheits-Plugin oben nicht aufgeführt ist, gehen Sie wie folgt vor:

  1. Suchen Sie die Einstellung zur REST-API-Beschränkung in Ihrem Sicherheits-Plugin und deaktivieren Sie sie oder erstellen Sie eine Ausnahme für diese URL-Muster:
    • /wp-json/efb/
    • /wp-json/emsfb/
  2. Erlauben Sie den Header X-WP-Nonce, damit er nicht entfernt oder blockiert wird.
  3. Nehmen Sie die Formular-Endpunkte in den WAF-Einstellungen aus, damit Formulardaten nicht blockiert werden.
  4. Prüfen Sie die Rate-Limiting-Einstellungen und schließen Sie REST-API-POST-Anfragen von Easy Form Builder von diesen Regeln aus.
  5. Testen Sie nach jeder Änderung: Verwenden Sie den Netzwerk-Tab in den Entwicklerwerkzeugen Ihres Browsers und prüfen Sie, ob Formularübermittlungen den Statuscode 200 statt 403 zurückgeben.

Wie Easy Form Builder Sicherheits-Plugins erkennt

Ab Easy Form Builder v4 prüft das Plugin automatisch die aktiven Plugins Ihrer Website und erkennt bekannte Sicherheits-Plugins, die Kompatibilitätsprobleme verursachen können. Wenn ein bekanntes Sicherheits-Plugin erkannt wird:

  • Im WordPress-Adminbereich erscheint ein Warnhinweis.
  • Der Hinweis zeigt den Plugin-Namen, die Version und die häufigsten Ursachen für 403-Fehler an.
  • Ein Link zu dieser Anleitung wird zur schnellen Fehlerbehebung bereitgestellt.

Diese Erkennung dient ausschließlich der Information. Easy Form Builder ändert keine Einstellungen Ihres Sicherheits-Plugins und greift nicht in dessen Konfiguration ein.

Häufig gestellte Fragen

Beeinträchtigt das Deaktivieren von REST-API-Beschränkungen die Sicherheit meiner Website?

Das Deaktivieren von REST-API-Beschränkungen für die spezifischen Namespaces von Easy Form Builder (efbemsfb) hat nur minimale Auswirkungen auf die Sicherheit. Anonyme Besucher können dadurch lediglich Formulare absenden. Sie erhalten keinen Zugriff auf sensible WordPress-Daten. Sie erlauben also nur Formularübermittlungen und öffnen nicht die gesamte REST-API.

Mein Formular funktioniert, wenn ich angemeldet bin, schlägt aber bei Besuchern fehl. Was ist die Ursache?

Das ist ein typisches Anzeichen dafür, dass „Disable REST API for non-logged-in users“ aktiviert ist. Angemeldete Benutzer bestehen die Sicherheitsprüfung, während anonyme Besucher blockiert werden. Folgen Sie den oben beschriebenen Schritten für Ihr jeweiliges Sicherheits-Plugin.

Der 403-Fehler tritt nur bei bestimmten Formularfeldern auf. Warum?

Wahrscheinlich reagiert Ihre WAF auf bestimmte Inhalte in diesen Feldern, zum Beispiel Sonderzeichen, HTML-Tags oder bestimmte Schlüsselwörter. Prüfen Sie die WAF-Protokolle auf blockierte Anfragen und erstellen Sie eine Ausnahmeregel für den Endpunkt von Easy Form Builder.

Easy Form Builder zeigt eine Warnung zu einem Sicherheits-Plugin an, aber die Formulare funktionieren. Muss ich etwas tun?

Wenn Ihre Formulare korrekt funktionieren, ist die Warnung nur informativ. Das erkannte Sicherheits-Plugin kann je nach Konfiguration Probleme verursachen. Wenn Formularübermittlungen funktionieren, ist keine Aktion erforderlich. Sie können den Hinweis im Adminbereich ausblenden.

Ich verwende eine cloudbasierte WAF wie Cloudflare oder Sucuri. Was soll ich tun?

Cloudbasierte WAFs arbeiten außerhalb von WordPress und müssen im Dashboard des jeweiligen WAF-Anbieters konfiguriert werden. Melden Sie sich beim Dashboard Ihres WAF-Anbieters an, fügen Sie die Pfade /wp-json/efb/ und /wp-json/emsfb/ zur Whitelist bzw. zu den Ausnahmen hinzu und stellen Sie sicher, dass der Header X-WP-Nonce nicht entfernt wird.

Bestehen weiterhin Probleme?

Wenn Sie diese Anleitung befolgt haben und Formularübermittlungen weiterhin fehlschlagen:

  1. Kontaktieren Sie unser Support-Team über whitestudio.team und senden Sie den Namen Ihres Sicherheits-Plugins sowie die Fehlerdetails aus dem Protokoll mit.

Zuletzt aktualisiert: April 2026 · Easy Form Builder v4+

WhiteStudio.team

Unser erstes Produkt, Easy Form Builder, ist ein WordPress-Formular-Plugin mit mehreren Schritten und Drag-and-drop-Funktionalität. Das Team von White Studio entwickelt Software, die dir hilft, schöne mobilfreundliche und responsive Online-Formulare ganz ohne Programmierkenntnisse zu erstellen.

Anleitungen
Links
Team
Soziale Netzwerke
© 2021 - 2026 WhiteStudio.team