---
title: Flarum
---

# Flarum

Offizielle CaptchaLa-Erweiterung für Flarum. Fügt CAPTCHA-Verifizierung zu den Aktionen hinzu, die Bots in einem Forum typischerweise angreifen — Registrierung, Anmeldung, Passwort-Zurücksetzen und Posten — mit Schaltern je Aktion im Admin-Panel.

## Was es abdeckt

Jede Aktion unten ist ein eigener Schalter unter `Admin → Erweiterungen → CaptchaLa`.

- Registrierung
- Anmeldung
- Passwort-Zurücksetzen
- Antworten posten
- Neue Diskussionen
- Profil-Bearbeitungen

Authentifizierte Sitzungen, die über einen SSO- / Auth-Sync-Provider geöffnet wurden, sind ausgenommen — siehe [SSO / Auth Sync](#sso-auth-sync) unten.

## Installation

### 1. Erweiterung einbinden

Vom Root Ihrer Flarum-Installation aus:

```bash
composer require captchala/flarum
```

Alternativ fügen Sie unter `Admin → Erweiterungsmanager` `captchala/flarum` im Feld **Installieren** ein. Die Erweiterung richtet sich an Flarum ≥ 1.8 und PHP ≥ 8.1.

### 2. Im Admin-Panel aktivieren

Öffnen Sie `Admin → Erweiterungen`, finden Sie **CaptchaLa** und klicken Sie auf **Aktivieren**.

### 3. Konfigurieren

Im Einstellungs-Panel der Erweiterung:

1. Fügen Sie Ihre **App Key** und **App Secret** aus [`dash.captcha.la`](https://dash.captcha.la) ein.
2. Aktivieren Sie, welche Aktionen geschützt werden sollen.
3. Speichern.

## Konfiguration

Einstellungen werden in der Standard-Flarum-Settings-Tabelle unter dem Präfix `captchala.*` abgelegt.

| Einstellung | Typ | Standard | Beschreibung |
| --- | --- | --- | --- |
| App Key | string | — | Öffentlicher Schlüssel (`cl_pub_…`) aus dem CaptchaLa-Dashboard. Erforderlich. |
| App Secret | string | — | Server-Geheimnis. Erforderlich. Wird ausschließlich serverseitig zum Aufruf von `/v1/validate` verwendet. |
| Registrierung schützen | bool | `true` | Challenge bei der Anmeldung. |
| Anmeldung schützen | bool | `false` | Challenge im Anmelde-Modal. Standardmäßig deaktiviert, da die meisten Foren die Anmeldung per Rate Limiting schützen. |
| Passwort-Zurücksetzen schützen | bool | `true` | Challenge bei Anforderung einer Passwort-Reset-E-Mail. |
| Antworten schützen | bool | `false` | Challenge beim Posten einer Antwort. Standardmäßig deaktiviert; aktivieren Sie sie, falls das Forum unter Spam-Druck steht. |
| Neue Diskussionen schützen | bool | `false` | Challenge beim Eröffnen einer Diskussion. |
| Verifizierungsmodus | enum | `popup` | Einer von `popup`, `bind`, `embed`. Wird auf die `product`-Option des Web-SDK abgebildet. |
| Theme | enum | `auto` | `light`, `dark` oder `auto`. |
| Für vertrauenswürdige Nutzer überspringen | bool | `true` | Nutzer in als vertrauenswürdig markierten Gruppen (z. B. Moderatoren) umgehen die Challenge. |

## SSO / Auth Sync

Die Erweiterung kooperiert mit den Standard-Auth-Provider-Hooks von Flarum (`UserAuthenticated`, Drittanbieter-Auth-Sync-Provider, OAuth-Bridges).

- Kommt der Nutzer über eine authentifizierte SSO-Sitzung, wird keine Challenge gerendert — die Erweiterung behandelt die Sitzung als bereits verifiziert.
- Bei gemischten Setups, in denen sich manche Nutzer per SSO und andere über das lokale Formular anmelden, durchläuft nur der lokale Formular-Pfad die Challenge.
- Der Schalter `skip_for_trusted_users` stapelt sich darüber: Vertrauenswürdige Gruppen umgehen die Challenge auch bei einer lokalen Formular-Anmeldung.

## FAQ

**Ist die Erweiterung kostenlos?**

Ja. Das Composer-Paket ist kostenlos. Der kostenlose CaptchaLa-Tarif deckt 10.000 Verifizierungen pro Monat ab.

**Stoppt es Spam-Registrierungen?**

Es blockiert oder fordert die meisten automatisierten Registrierungen schon beim ersten Risiko-Score heraus. Kein CAPTCHA blockiert zu 100 % — in unseren Testforen sinkt das Volumen an Spam-Registrierungen nach Aktivierung jedoch um rund eine Größenordnung.

**Kann ich es nur bei der Registrierung erzwingen?**

Ja. Jede Aktion ist ein eigener Schalter. Das Standard-Profil aktiviert ausschließlich Registrierung und Passwort-Zurücksetzen.

**Funktioniert es mit SSO / Auth Sync?**

Ja. Sitzungen, die von einem SSO- / Auth-Sync-Provider geöffnet wurden, überspringen die Challenge. Siehe [SSO / Auth Sync](#sso-auth-sync).

**Ist es Open Source?**

Ja — der PHP-Code der Erweiterung ist Open Source. Verifizierungs-Aufrufe erfolgen gegen den gehosteten CaptchaLa-Dienst.

## Quelle

- Erweiterungs-Repository: [`github.com/Captcha-La/captchala-flarum`](https://github.com/Captcha-La/captchala-flarum)
- Packagist: [`captchala/flarum`](https://packagist.org/packages/captchala/flarum)
- Verwandt: [Web-SDK](/de/web-sdk) · [PHP-Server-SDK](/de/sdk/server-php) · [API-Referenz](/de/api-reference)