Mit begrenztem Wissen über Computer, Software und 42

schreibt Andre

WordPress, der Kampf gegen Spam in Kommentaren

01.11.11 (Kommentare, PlugIn, Spam, WordPress)

Kommentar-Spam bei WordPress – was tun? – welche PlugIns einsetzen?

Sicherlich wird sich jeder WordPress-Blog-Betreiber schon über SpamKommentare geärgert haben. Auch mir erging es nicht besser.  Die ersten Monate dieses Blogs habe ich aus Testgründen keinerlei SpamSchutz aktiviert, aber dennoch die Kommentar-Funktion bei allen Artikeln aktiviert. Die Erfahrungen waren nieder schmetternd: Obwohl der Blog kaum Besucher auswies, waren jeden Tag fast hundert SpamKommentare aufgelaufen. Was tun?

  • Kommentar-Funktion deaktivieren?
  • Nur eingeloggte und registrierte User dürfen kommentieren?
  • Ein Spam-Schutz-PlugIn verwenden, aber welches?

Die Kommentar-Funktion deaktivieren?

Diese Variante finde ich nicht wünschenswert, da hierdurch die Grundidee des Bloggens untergraben wird. Einerseits werden so sinnvolle und hilfreiche – also erwünschte – Kommentare unterdrückt und andererseits fehlt dann das – oft positive – Feedback der Leser, das zum Weitermachen motiviert. Zugegeben auf diesem Blog gibt es noch nicht viele dieser erwünschten Kommentare, aber bereits diese wenigen motivieren mich.  Diese Variante kommt also nicht in Frage. Es folgt also nur aus Gründen der Vollständigkeit wie man die Kommentar-Funktion deaktiviert (die Kommentar-Funktion in WordPress deaktivieren).

Nur registrierte User dürfen Kommentare abgeben

Dieses Verfahren eignet sich vielleicht für große Blogs mit einer aktiven Gemeinschaft. Es ist aber für neue bzw. kleine Blogs nicht einsetzbar, da das Registrieren beim Blog zuviel Aufwand ist und somit potentielle Kommentar-Schreiber abschreckt. Auch für Sie als Blog-Betreiber denke ich, ist das Verfahren nicht sinnvoll, da Sie auf diesen Weg weniger Arbeit mit Spam haben, aber dafür sich um Neuanmeldungen von Usern und die Verwaltung von vorhandenen Usern kümmern müssen. Aus diesen beiden Gründen betrachte ich diesen Ansatz nicht weiter und erspare mir und Ihnen die Beschreibung, wie Sie dieses Verfahren aktivieren.

Spam-Schutz bei Kommentaren per PlugIn

Eine weitere Möglichkeit ist es, die Spam-Flut mit Hilfe von PlugIns für WordPress in den Griff zu bekommen. Diesen Ansatz möchte ich jetzt näher betrachten. Der Vorteil dieses Verfahrens ist eindeutig: Kommentare sind weiterhin möglich, aber Spam wird automatisch erkannt und herausgefiltert.

Grundsätzlich ist ein derartiges PlugIn gut und brauchbar, wenn es echte – von Menschen verfasste Kommentare – unangetastet lässt und automatisch per Robots erstellte Kommentare erkennt und automatisch als Spam markiert oder gleich das Speichern verhindert. Die Qualität eines derartigen PlugIns ist also umso besser, je mehr Spam erkannt und gefiltert wird, ohne auch nur einen echten Kommentar versehentlich zu blocken.

Auch der Aufwand des Schutzverfahrens, den es einem menschlichen Kommentator abverlangt, ist ein Qualitätsmerkmal: Je geringer der Aufwand, desto besser das Verfahren. Sie kennen dies sicherlich von vielen Webseiten, wo Sie zunächst einen kryptischen Text von einer Grafik abtippen müssen, oder langwierige Anmeldeprozeduren über sich ergehen lassen müssen, bevor Sie einen Kommentar abgeben dürfen. Diese Verfahren sind nervig und schrecken davon ab Kommentare zu verfassen.

Um Spam von „guten“ Kommentaren zu unterscheiden, werden verschiedene Ansätze verfolgt, aber zunächst eine kleine Einführung, wie diese nervigen Spam-Robots arbeiten.

Wie arbeiten Robots, um Spam-Kommentare abzusetzen?

Um diese Frage zu beantworten hier kurz erklärt, wie Kommentare in WordPress und fast allen Webseiten prinzipiell funktionieren:

  • Der Leser schreibt die Kommentare in WordPress in ein HTML-Formular und schickt dieses dann zum Speichern an den Webserver ab, so dass der Kommentar durch WordPress gespeichert wird. Wenn Sie den Kommentar dann freischalten, wird dieser gespeicherte Kommentar auf der Webseite angezeigt.

Grundsätzlich sind Spam-Robots kleine Programme, die beliebige Webseiten aufrufen und den zurückgegebenen HTML-Text der Seite analysieren. Wenn hierbei bekannte HTML-Formular-Elemente entdeckt werden – und glauben Sie mir, WordPress ist ein so verbreitetes Blog-System, dass jeder Robot die Formular-Elemente der Kommentar-Funktion von WordPress kennt – schickt dieser Robot das Formular mit Spam-Einträgen gefüllt zum Speichern an WordPress und somit an Sie, um den neuen SpamKommentar zu überprüfen. Hierbei kann WordPress (und auch sonst keiner) zunächst nicht unterscheiden, ob dieser Eintrag von einem Menschen oder von einem Robot abgeschickt wurde (dies liegt u.a. daran, dass das TCP/IP-Protokoll ein Protokoll ohne Status ist).

Spam und Nicht-Spam zu unterscheiden, funktioniert also eigentlich nur anhand des Inhalts, der in das Formular eingetragen wurde. Es gibt auch ein paar andere Ansätze (Cookies, HTTP-Referrer, JavaScript [Danke an Timo für den hilfreichen Kommentar] etc.), die werden wir hier aber nicht betrachten, da gute Robots diese Verfahren sozusagen im „Schlaf“ beherrschen und umgehen.

Wie kann anhand des Inhalts des Kommentars zwischen Spam und „guten“ Kommentaren unterschieden werden?

Auch hier gibt es wieder viele Ansätze. Grundsätzlich würde ich in drei Kategorien unterscheiden:

  • Blacklisten: Die Wörter oder Links im Kommentar werden mit einer Spam-Liste verglichen. Werden im Kommentar einzelne oder mehrere Elemente der Liste gefunden, wird der Kommentar als Spam eingestuft.
  • Bekannte Werte: Dem Kommentar-Formular werden Felder hinzugefügt, in denen bekannte Werte eingetragen werden müssen. Sie kennen dies von Captcha-Grafiken, deren Text Sie entziffern und eintippen müssen oder von kleinen Matheaufgaben, die Sie lösen müssen, bevor Sie den Kommentar abschicken dürfen. Hierbei wird davon ausgegangen, dass Robots diese Aufgaben nicht lösen können, sondern nur Menschen. Natürlich können entsprechend programmierte Robots Rechenaufgaben lösen, aber der Mehraufwand diese Fähigkeit zu implementieren wird oft gescheut. Auch die Texterkennung per OCR für Grafiken ist machbar, wird aber aus gleichem Grund sehr oft nicht implementiert.
  • Aufkommen von ähnlichen Kommentaren: Es werden die Kommentare von vielen Blogbetreibern gesammelt und dann geschaut, ob es viele ähnliche Kommentare in kurzem Zeitraum gibt, so dass davon ausgegangen werden kann, dass dieser Kommentar maschinell erstellt wurde, da kein Mensch so viele gleiche Kommentare abgeben würde.

Natürlich können diese Verfahren auch kombiniert und variiert werden. Aber jetzt genug der Theorie – im folgenden Absatz geht es nun endlich darum, welches PlugIn ich Ihnen empfehlen kann.

Welches PlugIn, um Spam bei Kommentaren zu unterdrücken

In der Standard-Installation von WordPress ist oft bereits das PlugIn Akismet installiert. Dieses PlugIn, obwohl es von vielen WordPress-Blog-Betreibern sehr gelobt wird, kann ich Ihnen nicht empfehlen, da dieses PlugIn die Kommentare Ihrer Webseite  zur Überprüfung sozusagen weiß Gott wohin (naja, es ist der Betreiber des PlugIns) schickt.  Dies finde ich nicht akzeptabel, die Kommentatoren auf meiner Webseite sollen mir, dem Webmaster, vertrauen können, dass Ihre Kommentare auf meiner Webseite veröffentlicht und gespeichert werden und nicht irgendwo auf dieser Welt gelesen, analysiert und zwischengespeichert, dem Missbrauch ungeschützt ausgesetzt sind.

Ganz nebenbei: Dieses Verfahren dürfte nach meiner geringfügigen Einschätzung nicht mit dem deutschen Datenschutz in Einklang zu bringen sein (aber ich bin kein Rechtsanwalt).

Jetzt ein positives PlugIn, dass ich zur Zeit selber einsetze: Block-Spam-By-Math-Reloaded. Innerhalb von 4 Wochen, in der ich das PlugIn verwende, sind bisher erst 3 Spam-Kommentare aufgelaufen (zur Erinnerung vorher waren es mitunter 100 am Tag). Dieses PlugIn fügt einfach eine einfache Matheaufgabe jedem Kommentar-Formular hinzu. Der Kommentar wird nur gespeichert, wenn diese einfache Aufgabe gelöst wird. Die Aufgaben sind so einfach, dass der Mehraufwand für den Kommentator sehr überschaubar bleibt und der Erfolg spricht für sich.

Ich hatte vor der Installation des PlugIns nicht erwartet, dass diese einfache Methode derart effektiv ist.

Leider ist das PlugIn nicht komplett für den Einsatz auf deutschsprachigen Webseiten angepasst, so dass die Konfiguration einen kleinen Eingriff in die Programmzeilen des PlugIns erfordert. Aber da dieser Text bereist so lang und ausufernd geworden ist, folgt diese Erklärung „as soon as posible“ in einem weiterem Artikel (Hier).

 

Suchbegriffe

  • kommentare wordpress für registrierte user

4 Kommentare

  • 1
    Timo:

    Auf meinen Blogs habe ich relativ erfolgreich das Plugin Antispam Bee laufen. Und als Methode gibt es auch noch den Ansatz, das Kommentar-Formular erst mit Javascript laden zu lassen (+ evtl. ein Fakeformular ohne Javascript). Viele Bots können kein JS interpretieren, aber mittlerweile nimmt das leider auch zu.

  • 2
    Markus:

    Hallo, danke für den sehr guten Artikel. Ich habe selbst auf meinem wordpress-Blog das Spam Problem, obwohl ich gedacht habe, das dieses Akismet hilfreich sei und eben genau diesen Spam Kram verhindert. Tut es aber eben nicht – von daher hier nochmals meinen Dank für diesen sehr hilfreichen und vor allem nützlichen Artikel. Werde mir die vorgeschlagenen Anti Spam Tools gleich mal anschauen….Beste Grüße, Markus

  • 3
    Robert:

    Habe Aksimet auch im Einsatz und habe kein Spam, vielelicht auch nur Zufall?
    Damit es den Datenschutzbestimmungen entspricht habe ich ein zusätliches Plugin instlliert das es j nun shcon eine weile gibt. Der Benutzer muß der Nutzung seiner Daten zustimmen.

    Ich selber hätte keine Probleme mit, das meine Daten geprüft werden und wems nciht gefällt, der muß ja kein Kommentar bei mir lassen.

  • 4
    Chua:

    Also wir ke4mpfen derzeit aissmv mit Kommentar und Trackbackspam. Das Thema ist nicht nur e4rgerlich und zeitraubend, es verhindert auch die Generierung von Umse4tzen und greift somit m.E. aktiv in den Gewerbebetrieb ein. Wenn es einen allumfassenden Schutz geben wfcrde, gegen se4mtliche Spamtaktiken, dann we4re ich und sicher auch viele andere Internetnutzer auch bereit daffcr zu zahlen, leider traue ich Aksimet das nicht zu.

Kommentar schreiben

XHTML: Sie können diese Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

What is 4 + 4 ?
Please leave these two fields as-is:
Wichtig! Lösen Sie diese kleine Matheaufgabe, um als echter Besucher der Webseite eingeschätzt zu werden (um Spam abzuwehren).