letz­tes Update die­ses Artikels: 29.06.2008 Die von mir gesam­mel­ten Infos zum Thema opti­male Spambekämpfung mit WordPress 2 gibt’s zusam­men­ge­fasst im fol­gen­den Tutorial — auf dass sie viele Blogs mit wenig Aufwand spam­frei hal­ten mögen! Ich werde die­sen Text ab und an mit neuen, inter­es­san­ten Plugins aktua­li­sie­ren, schließ­lich ist und bleibt der Kampf gegen die Spammer-Bande ein Kopf-an-Kopf Rennen. Ganz beson­ders emp­feh­lens­wert finde ich zur Zeit das WP-SpamFree Plugin: es erspart Captchas und funk­tio­niert äußerst zuverlässig.

Inhalt

1. Cpt. Spam, der uner­wünschte Besucher
2. hän­di­sche Freischaltung
3. hän­di­sche Freischaltung des 1. Kommentars
4. Akismet Antispam
5. Update 06/2008: WP SpamFree Plugin
6. Captcha und Co.
7. HashCash
8. Trackback-Spam
9. Beispielskonfiguration
10. Tipp: Umbennen der comments-Datei
11. Links zu WordPress Antispam-Plugins und wei­te­ren Infos

1. Cpt. Spam, der uner­wünschte Besucher

Spam tritt längst nicht mehr nur in Form von E-Mails auf — wer selbst ein Blog oder ein Forum betreibt, weiß um die digi­tale Pest. Hier am Blog etwa fischte das Akismet-Plugin inner­halb von drei Monaten 425 Spameinträge aus der Datenbank — das sind weit mehr als tat­säch­li­che Kommentare. Je belieb­ter und popu­lä­rer ein Blog, desto hart­nä­cki­ger die Versuche der Spammer.

Ganz hilf­los aus­ge­lie­fert ist der Webmaster den Bösewichtigen des digi­ta­len Raumes dann aber doch nicht — um uner­wünschte Werbekommentare zu ver­mei­den, exis­tie­ren eine Reihe von Verfahren mit spe­zi­fi­schen Vor– und Nachteilen. Eine Registrierung vor­zu­schrei­ben für alle Besucher, die nur mal schnell ihre Meinung zu einem Artikel abge­ben möch­ten, erscheint über­trie­ben. Wer sei­nen Besuchern die Möglichkeit geben möchte, schnell und unkom­pli­ziert zu kom­men­tie­ren und sich zugleich vor Spam schüt­zen will, dem ste­hen ver­schie­de­nen Wege offen — WordPress selbst kann um diverse Antispam-Lösungen erwei­te­ren wer­den. Für ein opti­ma­les Ergebnis mit mög­lichst weni­gen “false posi­ti­ves” (dar­un­ter ver­steht man Einträge, die irr­tüm­lich als Spam gekenn­zeich­net wer­den) einer­seits und einem Minimum an hän­di­schem Eingriff ande­rer­seits emp­fiehlt sich eine Kombination meh­re­rer Plugins. Im fol­gen­den möchte ich die ein­zel­nen Strategien kurz vor­stel­len sowie ihre Vor– und Nachteile erläu­tern: Kommentare und Hinweise sind natür­lich sehr erwünscht!

2. Händische Kommentar-Freischaltung

Jeder Kommentar wird manu­ell frei­ge­schal­ten. Dazu braucht man keine Plugins, WordPress in der Grundkonfiguration bie­tet diese Option an.

Vorteil: die ein­zige Methode, die 100%ige Sicherheit bie­tet.
Nachteil: jeder Kommentar erfor­dert einen per­sön­li­chen Eingriff und erscheint erst nach Freitschaltung am Blog.

3. Händische Freischaltung des 1. Kommentares

Nur der erste Kommentar muss hän­disch frei­ge­schal­ten wer­den: WordPress bie­tet unter Options/Discussion fol­gende Einstellmöglichkeiten:

Before a com­ment appears:
* An admi­nis­tra­tor must approve the com­ment (regard­less of any matches below)
* Comment aut­hor must fill out name and e-mail
* Comment aut­hor must have a pre­viously appro­ved com­ment

Deaktiviert man die erste und akti­viert die zweite und dritte Option via Checkbox, dann muss der Webmaster nur mehr den ers­ten Kommentar einer Person hän­disch frei­schal­ten. Kommentiert der­selbe User mit dem glei­chen Nicknamen und der glei­che E-Mail Adresse, wird der Kommentare sofort freigeschalten.

Vorteil: Da die E-Mail Adresse für andere Besucher nicht ersicht­lich ist, spart diese Methode eini­ges an Handarbeit
Nachteil: Trotzdem erfor­dert jeder “Erstlingskommentar” einen hän­di­schen Eingriff und erscheint nicht sofort auf der Seite. Außerdem muss bei die­ser Methode die Eingabe von E-Mail Adresse und Usernamen zwin­gend vor­ge­schrie­ben werden.

4. Akismet Antispam

Akismet beruht auf kol­la­bo­ra­ti­ver Spamfilterung und zeigt sich lern­fä­hig:
Verdächtige Kommentare ver­schiebt Akismet in eine “Spam Queue”, die über das WordPress Moderationsinterface zugäng­lich sind. False Positives sind sel­ten, im gro­ßen und gan­zen funk­tio­niert das System sehr zuver­läs­sig. Das Plugin ist in WordPress 2.0 ent­hal­ten — bevor man es nut­zen kann, benö­tigt man zum Zugriff auf die zen­tra­len Server einen soge­nann­ten API-Key, der nach Registrierung gra­tis erstellt wird.

Vorteil: kol­la­bo­ra­tive Spamfilterung, per­fekt inte­griert in WordPress, ent­hal­ten im Lieferumfang
Nachteil: Akismet sollte unbe­dingt akti­viert wer­den — die Serverperformance lei­det nur unwesentlich.

5. WP-SpamFree

Einen völ­lig neuen Ansatz ver­folgt WP-SpamFree: das seit eini­gen Wochen ver­füg­bar Plugin nutzt meh­rere Layer der Spamerkennung, kommt mit inte­grier­tem Kontaktformular — und das beste daran: Captchas und sämt­li­che Fleißaufgaben für die User ent­fal­len. Ich habe WP-SpamFree par­al­lel mit Akismet seit 2 Monaten im Einsatz und kann nur sagen: it works like a charm! Auf der Plugin Homepage gibt’s eine aus­führ­li­che tech­ni­sche Erklärung zur Funktionsweise; ich kann aller­dings nur ver­si­chern, dass der Claim des Programmierers *kei­nes­wegs* über­trie­ben ist:

Comment spam has been a huge pro­blem for blog­gers since the incep­tion of blogs, and it just doesn’t seem to go away. The worst kind, and most pro­li­fic, is auto­ma­ted spam that comes from bots. Well, finally there is an effec­tive solu­tion, wit­hout CAPTCHA’s, chal­lenge ques­ti­ons, or other incon­ve­ni­ence to site visi­tors. WP-SpamFree vir­tually eli­mi­na­tes auto­ma­ted com­ment spam from bots, inclu­ding track­back and ping­back spam.

Einerseits beherr­schen die meis­ten Bots kein JavaScript, ande­rer­seits kom­men recht kom­plexe Erkennungsroutinen zum Einsatz — die, wie gesagt, der­zeit per­fekt funk­tio­nie­ren. Natürlich bleibt der Kampf gegen die Spammer ein Wettrennen; aber ich hoffe den­noch, dass WP-SpamFree Captchas (und sogar das weit weni­ger ner­vige Math Comment AntiSpam) auch wei­ter­hin über­flüs­sig macht.

6. Captcha und Co.

Als Captcha bezeich­net man die gra­fi­schen Texte, die zur Über­prü­fung in ein Eingabefeld ein­ge­tra­gen wer­den müs­sen. Typischerweise han­delt es sich um ein Bild das aus ver­schie­de­nen Buchstaben und Ziffern besteht. Um auto­ma­ti­sierte Spambots von mensch­li­chen Benutzern unter­schei­den zu kön­nen, muss der betref­fende Texte ent­zif­fert und ein­ge­ge­ben wer­den. Für WordPress exis­tie­ren diverse Captcha-Plugins — ein­fach zu instal­lie­ren ist capt­cha!, der Autor selbst emp­fiehlt aller­dings die Verwendung von HashCash (siehe unten).

Vorteil: erhöhte Sicherheit gegen Spambots, trotz­dem sofor­tige Freischaltung erwünsch­ter Kommentare
Nachteil: den bes­ten Schutz bie­ten mög­lichst schwer leser­li­che Captchas — diese wie­derum ver­rin­gern die Usability auch für mensch­li­che Benutzer: häu­fig fällt zB die Unterscheidungen zwi­schen dem klei­nen “l” und er Ziffer “1” schwer. In Kürze wer­den Spambots jedoch zumin­dest ein­fa­che Captchas auto­ma­ti­siert ent­schlüs­seln können.

Eine imho sehr ele­gante Methode, die Vorteile von Captcha mit wesent­lich bes­se­rer Usability zu kom­bi­nie­ren, stammt von Michael Wöhrer: das Math Comment Antispam Plugin ist schnell ein­ge­baut — eine paar Zeilen Code im Comments-Template, und schon muss zukünf­tig jeder Kommentator rech­nen: das Ergebnis einer sim­plen Addition zweier Zahlen (ob ein– oder mehr­stel­lig lässt sich via Optionen regeln) muss als Verifikation in ein zusätz­li­ches Eingabefeld ein­ge­tra­gen wer­den. In Aktion zu bewun­dern ist es zB im Kommentarfeld zu die­sem Artikel.

7. Hashcash

Eine neue Variante, gegen auto­ma­ti­sierte Spambots vor­zu­ge­hen, bie­tete HashCash. Das System beruht auf der Über­tra­gung eines Keys durch chif­frier­tes Javascript mit dyna­mi­schen Ajax-Funktionen: WP Hash-Cash. Die Funktionsweise im Detail:

Every four hours, your blog picks a ran­dom large num­ber (close to 32 bits). Whenever a visi­tor visits your per­ma­link pages, an ajax call is made which retrie­ves some java­script. This java­script first decrypts its­elf, then exe­cu­tes its­elf again to retrieve the secret value, which it sets in the form. If a com­ment does not have this value, it is rejec­ted. If a com­ment is rejec­ted more than four times, the user is blo­cked for a spe­ci­fied period of time.

Das bedeu­tet aller­dings, dass HashCash nur funk­tio­niert, solange auto­ma­ti­sierte Spam–Software Javascript nicht inter­pre­tiert. Die Lösung bie­tet also nur Schutz, bis der Feind tech­nisch aufrüstet:

Regarding Spam, WP-HashCash and its deri­va­ti­ves are methods that will even­tually fail in the future. This is because those methods can be made auto­ma­tic (it’s pos­si­ble to make a pro­gram which inter­pre­tes JavaScript, the same way cur­rent brow­sers do, and sends Spam; I’ve alre­ady seen 2 ways to do that in Internet). It’s only a mat­ter of time.
Any test made to detect whe­ther a user is a human or a machine, will need human inter­ven­tion (like Captcha! cur­rently does). Otherwise, the test method could be made auto­ma­tic and, thus, pro­gramma­ble on a machine. So, only when cur­rent plu­gin (WP-HashCash) has been bea­ten, I will resur­rect Captcha! again. [via boriel.com]

8. Trackback-Spam

Von Haus über­prüft WordPress nicht, ob Trackbacks (siehe Was ist eigent­lich ein Trackback?) Links zum Artikel ent­hal­ten, auf den sie Bezug neh­men. Freche Spammer benut­zen daher gerne die Trackback-Funktion, um voll­au­to­ma­ti­sche ihren Müll im Kommentarfeed abzu­la­den.
Ein sim­ples Plugin macht Schluss damit: Michael Wöhrers Simples Trackback Validation über­prüft je nach Einstellung, ob ein der Artikel, der den Trackback sen­det, einen Link zum eige­nen Blog bzw. zum ge-trac-backten Artikel ent­hält. Falls nicht, bleibt’s beim Spam-Versuch und der Trackback wan­dert direkt in den Müll.

9. Beispielskonfiguration

Hier am datenschmutz.blog hatte ich zuerst die Variante “hän­di­sche Freischaltung des 1. Kommentars” gewählt — aller­dings ist mir dies immer noch zuviel Eingriff, außer­dem will ich, dass die Kommentare sofort erschei­nen. Daher habe ich mich für fol­gende Konfiguration entschieden:

Discussion-Options: User müs­sen Name und E-Mailadresse aus­fül­len Update: geän­dert; Username und E-Mail sind frei­wil­lig nur die math antis­pam Rechenaufgabe ist Pflichtfeld. Grund: anonyme Kommentare sol­len ermög­licht wer­den.
Plugins: Akismet Antispam | Simple Trackback Validation | Math Comment Spam Protection | WP-SpamFree

Diese Konfiguration hat sich in den letz­ten 2 Monaten ganz her­vor­ra­gend bewährt. Vorher hatte ich die Math Comment Rechenaufgabe im Einsatz — doch WP-SpamFree macht das Capture erfreu­li­cher­weise bis­lang überflüssig.

10. Tipp: Umbenennen der Comments-Datei

Über Avilon bin ich auf einen wei­te­ren Tipp gesto­ßen. Oft sind die sim­plen Methoden die erfolg­reichs­ten — und im vor­lie­gen­den Fall müs­sen ledig­lich eine Datei umbe­nannt und eine Zeile Code geän­dert wer­den. Die Vorgehensweise im Detail:

1. wp-comments-post.php auf einen belie­bi­gen Namen umbenennen
2. anschlie­ßend den Verweis auf die betref­fende Datei im File comments.php anpassen.

Die betref­fende Zeile sieht in etwa so aus:

Sinn der Sache: viele Spam-Bots sind fest auf den vor­ge­ge­be­nen WordPress-Standard Namen der comments-Datei pro­gram­miert. Da diese Datei nur an einer Stelle refe­ren­ziert wird, funk­tio­niert das Umbenennen schnell und schmerz­los. Allerdings han­delt es sich wie meist nur um eine tem­po­räre Lösung: sobald die Spammer dazu über­ge­hen, ihre Bots nicht auf einen fixen Dateinamen zu pro­gram­mie­ren, son­dern den Filename aus dem Blog aus­zu­le­sen, greift die Maßnahme nicht mehr. Bis dahin sind die zwei Minuten aller­dings gut inves­tierte Zeit, um eine ganze Latte an Spambots ins Leere lau­fen zu lassen.

11. Links zu WordPress Antispam-Plugins und wei­te­ren Infos

Akismet Antispam (bei WordPress 2 akti­viert, erfor­dert API-Key (gra­tis erhält­lich bei WordPress.org)
WP-SpamFree im WordPress Plugin–Repository
Simple Trackback Validation
Math Comment Antispam
HashCash
SpamKarma 2: umfang­reich, detail­lierte Optionen

Keine ähnli­chen Beiträge.