Einleitung {#einleitung}
Das am häufigsten installierte Formular-Plugin in der Geschichte von WordPress signalisiert gerade, dass es kein Plugin mehr sein möchte. Am 8. Mai 2026 hat Takayuki Miyoshi bestätigt, dass sein nächstes Projekt, Contactable.io, als RESTful API auf Cloudflare Workers startet, nicht als klassisches Plugin im WordPress.org-Verzeichnis. Es ist eine Abkehr von dem Modell, das seine Karriere über mehr als ein Jahrzehnt definiert hat, und ein Signal, das man sorgfältig lesen sollte, bevor jemand abwinkt und es als “weiteres Entwicklerspielzeug” abtut.
Contact Form 7 hat laut WordPress.org-Plugin-Verzeichnis mehr als fünf Millionen aktive Installationen. Es ist schwer, ein anderes Plugin mit dieser Präsenz zu finden, das von Agenturen ohne langes Nachdenken in fast jedes Projekt eingebaut wird. Wenn der Autor einer solchen Infrastruktur offen sagt, dass sein nächster Schritt in Richtung API und Edge geht, dann ist das keine “nette Kuriosität”. Es ist der Moment, den eigenen Stack zu prüfen.
In der DACH-Region trifft das auf eine sehr konkrete Realität. Ein großer Teil der Contact-Form-7-Installationen läuft auf Hostern wie IONOS, Hetzner, Mittwald oder dem schweizer Cyon, wo der typische Agenturkunde mit dem Begriff “Headless” wenig anfangen kann und SMTP nach dem Prinzip “der letzte Admin hat etwas eingetragen, also lassen wir es so” funktioniert. In diesem Kontext trifft das Auftauchen eines Formular-Dienstes als REST API einen wunden Punkt, denn es zwingt zum Nachdenken darüber, was nach dem Klick auf “Senden” tatsächlich mit den Daten passiert. Die BSI-Mindeststandards für Webhosting sind hier ein guter Ausgangspunkt für das Gespräch mit dem Datenschutzbeauftragten.
Die wichtigsten Erkenntnisse auf einen Blick {#kernpunkte}
- Contact Form 7 verschwindet nicht. Contactable.io ist ein neues, unabhängiges Produkt desselben Autors.
- Der Standardort der Code-Ausführung verschiebt sich vom Hosting des Kunden auf die Edge von Cloudflare Workers.
- Das Geschäftsmodell wechselt vom kostenlosen Plugin zu einem API-Dienst, sehr wahrscheinlich mit einem kostenpflichtigen Tier.
- Für DSGVO-Teams bedeutet das eine erneute Prüfung, wo Daten physisch verarbeitet werden.
- Für Agenturen ist es ein Argument für eine jährliche Formular-Inventarisierung, statt zufällige Entscheidungen aus alten Projekten weiter zu erben.
- Für Headless- und WooCommerce-mit-eigenem-CRM-Projekte ist es ein potenzieller Gewinn, wenn die Architektur darauf vorbereitet ist.
Was Takayuki Miyoshi tatsächlich angekündigt hat {#was-miyoshi-ankuendigte}
Laut The Repository (dem WordPress-Newsletter von Rae Morey, Ausgabe #301, 8. Mai 2026) beschrieb Miyoshi Contactable.io als “RESTful API, die auf Cloudflare Workers läuft”. In der Praxis bedeutet das drei Änderungen gleichzeitig.
Erstens lebt das Formular nicht mehr in der Datenbank einer bestimmten WordPress-Installation. Es lebt in einem Dienst. Die Kundenseite sendet einen HTTP-Request, erhält eine Antwort und rendert das Ergebnis. Zweitens laufen Validierung, Bot-Schutz und die Zustelllogik näher am Endnutzer, im Cloudflare-Edge-Netzwerk. Drittens laufen Integrationen mit externen Systemen (CRM, E-Mail-Marketing, Helpdesk) über Webhooks statt über interne PHP-Hooks.
Am wichtigsten ist jedoch, was Miyoshi nicht gesagt hat. Er hat nicht das Ende von Contact Form 7 als Plugin angekündigt. Er hat keine erzwungene Migration angekündigt. Er hat keine vollständige Preisliste veröffentlicht. Das sind offene Fragen, und genau diese fehlenden Antworten sollten das Argument dafür sein, heute keine “wir schreiben alles neu”-Entscheidungen zu treffen.
Warum diese Änderung wichtig ist {#warum-wichtig}
Es wäre leicht zu denken: “Gut, noch ein Entwickler startet noch ein SaaS, davon haben wir schon Tausende.” Dieser Fall ist aus drei Gründen anders.
Installationsumfang. Contact Form 7 läuft auf so vielen Seiten in Deutschland, Österreich und der Schweiz, dass jede Änderung der Standardempfehlung des Autors über Jahre nachwirkt. Die meisten Redakteure und kleinen Geschäftsinhaber wissen nicht, von wem das Plugin stammt, aber jedes Update, das es eines Tages als “legacy” markiert, löst einen Domino-Effekt aus.
Eine Verschiebung des Schwerpunkts. Fünfzehn Jahre lang war das Standarddenken rund um Formulare, dass ein WordPress-Plugin alles macht: Validierung, Antispam, Versand, Logging. Das Modell von Contactable.io trennt die Datenebene von der Präsentationsebene. Die Seite behält das Frontend, aber die Formular-Engine wird zum Dienst.
Ein Signal an den breiteren Plugin-Markt. Wenn ein Autor von Miyoshis Statur Cloudflare Workers wählt, statt noch ein PHP-Plugin zu schreiben, werden andere Autoren bekannter Plugins diese Entscheidung studieren. Es ist plausibel, dass innerhalb eines Jahres eine Handvoll bekannter Plugins aus den Kategorien Forms, Popups, E-Mail-Opt-in oder Booking diesem Beispiel folgen wird.
Vergleichstabelle, Contact Form 7 und die Alternativen {#vergleichstabelle}
Die folgende Tabelle stellt fünf reale konkurrierende Produkte neben das angekündigte Contactable.io. Die Zahlen spiegeln den Stand vom Mai 2026 wider und sollten als strategische Schätzung gelesen werden, nicht als Marketing-Aussage.
| Produkt | Modell | Aktive WP-Installationen | Architektur | Headless-tauglich | DSGVO standardmäßig |
|---|---|---|---|---|---|
| Contact Form 7 | kostenloses Plugin | 5M+ | PHP, Datenbank der Seite | schwieriger | ja, Daten beim Hoster |
| WPForms | Freemium-Plugin | 6M+ | PHP, optionale API | teilweise | erfordert Konfiguration |
| Fluent Forms | Freemium-Plugin | 500K+ | PHP, eigene API | ja | erfordert Konfiguration |
| Gravity Forms | kostenpflichtiges Plugin | 1M+ kommerzielle Seiten | PHP, REST API | ja | erfordert Konfiguration |
| Formidable Forms | Freemium-Plugin | 300K+ | PHP, Hooks | ja | erfordert Konfiguration |
| Contactable.io (angekündigt) | SaaS API | n/v | Edge, Cloudflare Workers | ja, by design | erfordert Audit |
Drei Beobachtungen. Erstens hat fast jedes ernsthafte WordPress-Formular-Tool bereits eine REST API, daher führt Contactable.io auf dieser Achse nichts grundlegend Neues ein. Zweitens ist der Unterschied das Fehlen einer PHP-Schicht auf der Kundenseite, was eine andere Angriffsfläche und einen anderen Speicherort für die Daten bedeutet. Drittens hat die DSGVO-Spalte in keiner Zeile ein “ja” ohne Sternchen, was eine nützliche Erinnerung daran ist, dass die Wahl eines Plugins niemanden von der Konfiguration der Aufbewahrung, der Einwilligung und der Auftragsverarbeitungsverträge entbindet.
DSGVO, Datenübermittlungen und die “Wo passiert das?”-Frage {#dsgvo}
Die Verlagerung der Formularausführung von einem europäischen Hoster auf die Cloudflare-Edge ist der Punkt, an dem das eigentliche Gespräch von der Technik in die Rechtsabteilung wandert.
Cloudflare Workers führt Code an mehr als 330 Standorten weltweit aus, darunter Frankfurt, München, Wien und Zürich, aber auch Singapur, São Paulo und Dubai. Standardmäßig kann der Code an jedem dieser Standorte ausgeführt werden, abhängig vom Standort des Nutzers. Aus der Sicht eines deutschen oder österreichischen Verantwortlichen bedeutet das: Ein von einem Kunden in München ausgefülltes Formular wird höchstwahrscheinlich in Frankfurt ausgeführt, dasselbe Formular von einem in Thailand reisenden Nutzer aber in Singapur.
Aus DSGVO-Sicht erfordern drei Elemente einen Audit, bevor irgendein Formular von Contact Form 7 zu Contactable.io wechselt:
- Verarbeitungsort: dürfen die Daten den EWR verlassen, und auf welcher Rechtsgrundlage.
- Auftragsverarbeitungsvertrag: Cloudflare veröffentlicht eine Muster-AVV, aber jede Agentur muss sie im Namen ihrer Kunden unterzeichnen und archivieren.
- Übermittlungsmechanismen: Standardvertragsklauseln, das EU-US Data Privacy Framework und gegebenenfalls Binding Corporate Rules.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie der Europäische Datenschutzausschuss (EDSA) haben in ihren Leitlinien aus 2024 und 2025 wiederholt betont, dass die Nutzung eines global verteilten Dienstes nicht per se ein Verstoß ist, das Versäumnis einer Datenschutz-Folgenabschätzung dort, wo sie erforderlich ist, hingegen schon. Contactable.io fällt in die Kategorie der Werkzeuge, für die eine DSFA auch dann eine vernünftige Idee ist, wenn sie nicht streng vorgeschrieben ist. Für Agenturen mit Kunden im öffentlichen Sektor sind die BSI-Empfehlungen zur Cloud-Nutzung der zweite Standort, an dem die rechtliche Prüfung verankert werden sollte.
Was es für SEO, Performance und Core Web Vitals bedeutet {#seo-performance}
Aus SEO-Sicht hat die Verlagerung von Formularen vom Hoster auf die Edge drei reale Effekte.
Geringere Last auf dem Kundenserver. Jede Contact-Form-7-Übermittlung ist ein POST an admin-ajax.php, der den WordPress-Kern berührt, das Plugin lädt, eine Datenbankverbindung öffnet und üblicherweise auch eine SMTP-Verbindung. Diese Ressourcen gehen nicht in das Rendern der Seite für alle anderen ein. Diese Operation auf Cloudflare Workers zu verlagern, nimmt die Last vom Hoster.
Ein zusätzlicher Netzwerkaufruf. In einer Headless- oder Inseln-Architektur bedeutet ein Contactable.io-Formular einen Request an eine externe API. Das beeinflusst nicht den LCP, da Formulare selten das größte sichtbare Element sind, beeinflusst aber den INP (Interaction to Next Paint), denn die erste Interaktion nach dem ersten Klick löst einen externen Request aus.
Bessere Belastbarkeit bei Traffic-Spitzen. Cloudflare Workers skaliert ohne Admin-Eingriff auf Millionen Requests pro Sekunde. In Kampagnen, in denen Formulare Tausende Eintragungen pro Stunde erhalten (Newsletter, Lead-Magnet, Black Friday), ist das der reale Unterschied zwischen einem erfassten Lead und einem 502 Bad Gateway auf einem klassischen Shared Hosting.
Ich behandle das ausführlicher im Leitfaden zu 100/100 Core Web Vitals erreichen 2026, wo ich erkläre, warum INP in der aktuellen Google-Messung die am schwierigsten zu fixende Metrik für formularreiche Seiten ist.
Praktische Integration, wie das im Code aussieht {#code-integration}
Unten folgt ein Skelett dreier typischer Integrationen. Die Endpunkte sind exemplarisch und werden aktualisiert, sobald Contactable.io die offizielle API-Dokumentation veröffentlicht.
1. Formular mit klassischem Frontend-Fetch absenden
// public/js/contactable-submit.js
async function submitContact(form) {
const payload = {
name: form.name.value,
email: form.email.value,
message: form.message.value,
siteId: 'wppoland-de-001',
locale: document.documentElement.lang
};
const response = await fetch('https://api.contactable.io/v1/submit', {
method: 'POST',
headers: {
'Content-Type': 'application/json',
'X-Contactable-Token': window.CONTACTABLE_PUBLIC_KEY
},
body: JSON.stringify(payload)
});
if (!response.ok) {
throw new Error('contactable submit failed');
}
return await response.json();
}2. Server-zu-Server in PHP, das WordPress-Plugin als Proxy behalten
<?php
// wp-content/mu-plugins/contactable-proxy.php
add_action('rest_api_init', function () {
register_rest_route('wppoland/v1', '/contact', [
'methods' => 'POST',
'callback' => 'wppoland_contactable_proxy',
'permission_callback' => '__return_true',
]);
});
function wppoland_contactable_proxy(WP_REST_Request $req) {
$body = $req->get_json_params();
$response = wp_remote_post('https://api.contactable.io/v1/submit', [
'timeout' => 8,
'headers' => [
'Content-Type' => 'application/json',
'X-Contactable-Token' => CONTACTABLE_SECRET_KEY,
],
'body' => wp_json_encode($body),
]);
if (is_wp_error($response)) {
return new WP_Error('contactable_unreachable', $response->get_error_message(), ['status' => 502]);
}
return new WP_REST_Response(
json_decode(wp_remote_retrieve_body($response), true),
wp_remote_retrieve_response_code($response)
);
}3. Smoke-Test mit curl vor dem Deploy
curl -X POST https://api.contactable.io/v1/submit \
-H "Content-Type: application/json" \
-H "X-Contactable-Token: ${CONTACTABLE_PUBLIC_KEY}" \
-d '{
"name":"Lukas Muller",
"email":"[email protected]",
"message":"Integrationstest",
"siteId":"wppoland-de-001",
"locale":"de"
}'Das Proxy-Muster aus dem zweiten Beispiel ist das, das ich den meisten Agenturen empfehle. Es hält die alte Formular-URL stabil, hält den geheimen Schlüssel auf der Serverseite und gibt nie Zugangsdaten im Browser preis.
Migrationsszenarien, wann bleiben und wann wechseln {#migrationsszenarien}
Nicht jeder Kunde ist ein guter Migrationskandidat. Die folgende Tabelle zeigt, wo Contactable.io eine Überlegung wert ist und wo nicht.
| Szenario | Sinnvolle Entscheidung | Begründung |
|---|---|---|
| Einseitige Visitenkarten-Seite eines Kleinunternehmens, 50 Leads pro Monat | Bei Contact Form 7 bleiben | Kein Geschäftsgewinn, Migrationskosten nicht gerechtfertigt. |
| WooCommerce-Shop mit Retourenformular | Vorerst bleiben, beobachten | Wechsel mitten in der Saison ist hochriskant und unbegründet. |
| Headless WordPress + Astro + Cloudflare Pages | Migration realistisch | Architektur bereits Edge-basiert, Integration natürlich. |
| Kampagnen-Landingpage mit Lead-Magnet | Migration testenswert | Gewinn bei Skalierung und Belastbarkeit unter Traffic-Spitzen. |
| EU-Seite mit Bewerbungsformular | Abwarten | DSGVO, sensible Daten, vollständige DSFA vor jeder Entscheidung erforderlich. |
| Multisite mit 30 Kundenseiten | Standardisierende Migration | Inventarisierung und ein einheitlicher Formularstandard für die ganze Organisation. |
Die praktische Regel ist einfach. Contactable.io ergibt dort Sinn, wo Sie ohnehin eine moderne Architektur bauen, wo Skalierung zählt und wo das Team auf eine DSFA vorbereitet ist. Überall sonst ist Contact Form 7 immer noch in Ordnung.
Was eine WordPress-Agentur im Q2 2026 tun sollte {#agentur-q2}
Eine konkrete Liste, in Reihenfolge der Priorität.
- Den Kundenstamm inventarisieren. Wie viele aktive Contact-Form-7-Installationen betreuen Sie, wo, in welchen Versionen, mit welchen Erweiterungen (CF7 Multi-Step, Conditional Fields, Flamingo).
- Einen internen Formularstandard für 2026 wählen. Es kann Fluent Forms, WPForms Pro, Gravity Forms oder Contactable.io sein. Ein Standard erleichtert Entwicklung, Audits und Projektübernahmen.
- Eine DSGVO-Checkliste vorbereiten für jede neue Integration. Verarbeitungsort, Aufbewahrung, Auskunftsrecht, Recht auf Vergessenwerden, Log-Audit.
- Eine DSFA-Vorlage erstellen für Projekte, die Edge-API-Dienste einführen. Einmal geschrieben, kann sie Dutzenden Kunden dienen.
- Ein Webinar oder einen Blogpost für Ihre Kunden planen, in dem Sie den Unterschied zwischen einem PHP-Plugin und einer SaaS-API erklären. Kunden, denen Sie das Problem erklären, bevor sie es selbst bemerken, behandeln die Agentur als Berater, nicht als Auftragnehmer.
