Hallo Mike,

Super kompliziert und nicht gerade "benutzerfreundlich"

Nö, DAS ist es nicht. Es ist für den User so kompliziert wie nötig, aber nicht mehr.

• Mail erhalten
• Aufmachen
• Feststellen, dass da jemand meine Adresse mistbraucht hat und sie löschen ODER
• Klick auf Link
• Klick auf Checkbox
• Klick auf Submit

Für Dich als Bestätigungsempfänger bedeutet es, die Bestätigungsseite als Form auszulegen, zwischen GET und POST zu unterscheiden und die Checkbox abzufragen. Das sollte machbar sein, gelle? Es sei denn, das ist in WP nicht so einfach - keine Ahnung.

Jedenfalls immer noch besser als die Eingabe einer Bestätigungsnummer (die Du dann ebenfalls im WP validieren müsstest). Oder eine Bestätigung von einem Scanbot gefälscht zu bekommen.

Du schriebst an Raketenwilli

Wenn wir eine Bot Verifizierung vor dem Abschicken der Mail machen? -

Das ist sicherlich nützlich, aber ein anderes Problem. Ein „Spaß“-User besucht via TOR Netz eure Homepage und trägt in ein Auftragsformular beliebige Kontaktdaten ein, mit einer beliebigen Mailadresse. Er ist kein Bot und besteht locker die entsprechende Prüfung. Der Auftrag wird abgeschickt, die Bestätigungsanfrage wird als Mail von euch versendet. Sie gelangt auf einen Mailserver, der Mails überprüft und - wie von Raketenwilli beschrieben - die enthaltenen Links auf boshaften Inhalt überprüft. Diese Überprüfung ruft die Bestätigungsseite auf, und wenn allein dieser Abruf zur Bestätigung genügt, ist das Unheil geschehen. In etwa so, als würde man Filme für analoge Kameras mit einer Taschenlampe qualitätsprüfen.

Deswegen meine Hinweise darauf,

• dass die Bestätigung etwas komplizierter laufen muss, damit der Scanbot sie nicht irrtümlich auslöst.
• dass die Bestätigungsmail komplett neutral und werbefrei sein muss, um keinesfalls als Spam gewertet werden zu können.

Und dann ist alles genau so umständlich wie nötig und nicht umständlicher.

Rolf