Spam-Schutz auf Webseiten-Infos.de

Dieter — Fri, 15 Jan 2010 22:12:14 +0000

Inhaltsverzeichnis

WordPress-Plugins
Spam-Schutz mittels Einstellungen von WordPress
Spam-Schutz via .htaccess
1. IP-Adressen aussperren
2. User-Agent blockieren
Mein persönliches Fazit

1. Spam-Schutz durch WordPress-Plugins

Angeregt durch toscho möchte ich – wie Micha, Frank Bültge, ~~Dominik~~ (ocean90), Helmut Pozimski, Marco Döhring und toscho selbst – meine eingesetzten Maßnahmen zum Schutz vor Spam vorstellen.

Diese Maßnahmen setze ich nicht nur auf Webseiten-Infos.de, sondern auch auf allen meinen und von mir technisch betreuten WordPress-Installationen ein. Das sind derzeit insgesamt vier WordPress-Websites.

Dabei versuche ich mich aus Gründen der Vergleichbarkeit, Bequemlichkeit und weil ich die von toscho vorgeschlagenen Kriterien gut finde, daran zu orientieren.

Soweit die oben genannten Blogbeiträge aber Ausführungen enthalten, die hierher passen, erlaube ich mir zu zitieren oder darauf zu verlinken. Zugänglichkeitsprobleme durch meine Maßnahmen zum Schutz vor Spam sind mir nicht bekannt. Allerdings setze ich auch keinen Captcha bei der Kommentarfunktion ein.

Zum Schutz vor Spam setzte ich folgende vier WordPress-Plugins ein:

Akismet von Automattic
Antispam Bee von Sergej Müller
Simple Trackback Validation von Michael Wöhrer
SpamViewer von Frank Bültge

Hierauf sowie Spam-Schutz mittels Einstellungen von WordPress und via .htaccess-Datei gehe ich nachfolgend ein.

1.1. Akismet

Akismet wird mit WordPress automatisch mitgeliefert.

Es ist für den persönlichen Gebrauch kostenlos. Betreibst Du jedoch ein Blog, mit dem Du mehr als 500 US-Dollar pro Monat generierst oder das zu einem großen Unternehmen gehört, dann kostet Akismet und gibt es dafür einen kommerziellen API-Schlüssel.

Auch für den persönlichen Gebrauch benötigst Du zum Einsatz dieses Plugins einen WordPress.com-API-Schlüssel, der im Administrationsbereich (Backend) unter Plugins > Akismet-Konfiguration eingetragen werden muss. Diesen bekommst Du über den Link http://en.wordpress.com/api-keys/.

Akismet lernt von den Erfahrungen der Nutzer. Allerdings werden dazu Daten eingehender Kommentare und Trackbacks an den Server von Akismet in den USA gesandt. Aus diesem Grunde habe ich einen Hinweis hierauf in die Datenschutzerklärung von Webseiten-Infos.de aufgenommen.

Lesenswert in diesem Zusammenhang ist der Blogbeitrag “Akismet in WordPress: Ist die Nutzung in Deutschland rechtmäßig?” von Sergej Müller.

Meine persönliche Meinung ist, dass die Nutzung von Akismet in Deutschland rechtmäßig ist. Voraussetzung dafür ist, dass potentielle Kommentatoren die Möglichkeit haben, vor dem Absenden eines Kommentars von der Datenübermittlung an den Server zum Spam-Schutz Kenntnis zu erlangen und insoweit ihre Meinung, ob sie gleichwohl kommentieren wollen, zu überdenken.

Deshalb gibt es auf Webseiten-Infos.de bei Kommentar schreiben den Link zur Datenschutzerklärung.

Akismet gibt im Administrationsbereich (Backend) unter Dashboard > Akismet-Statistiken Aufschluss über das Spam-Aufkommen in der eigenen WordPress-Installation.

Webseiten-Infos.de ist seit Februar 2009 online und weist durch Akismet aktuell folgende Statistik aus:

Bisher 5.339 Spams (spam detected) und 560 echte Kommentare (ham detected), also eine Spam-Quote von etwa 90%.
Die Erkennungsrate von Spam durch Akismet liegt hier aktuell bei 99,424%.
24 Spam-Kommentare hatte Akismet auf Webseiten-Infos.de bislang nicht selbst erkannt und mussten von mir manuell als Spam gekennzeichnet werden (missed spam).
10 echte Kommentare auf Webseiten-Infos.de wurden von Akismet fälschlicherweise als Spam eingestuft (false positive).
Bisher war April 2009 mit 850 Spam-Kommentaren der Monat mit dem höchsten Aufkommen und November 2009 mit 239 Spam-Kommentaren der Monat mit dem geringsten Aufkommen an Spam.
Tendenziell und erfreulicherweise scheint auf Webseiten-Infos.de die Anzahl der Spam-Kommentare rückläufig zu sein.

Wünschenswert ist aus meiner Sicht bei Akismet das Beifügen eines Musters einer Datenschutzerklärung.

Im Übrigen verweise ich auf den Abschnitt zu Akismet im lesenswerten Blogbeitrag “Spam verhindern mit Akismet und .htaccess” von Thomas Scholz aka toscho.

1.2. Antispam Bee

Hierüber ~~haben~~ hat bereits Micha in seinem lesenswerten Blogbeitrag “Antispam Bee – Meine WordPress Antispam Lösung” ~~und Dominik (ocean90) in seinem ebenfalls lesenswerten Blogbeitrag “Biene versus Spam oder mit Antispam Bee dem Spam entkommen”~~ geschrieben. Außerdem gibt es den informativen Blogbeitrag “Antispam Bee: Das WordPress-Plugin für den Schutz gegen Spam” von Sergej Müller in seinem Blog zu seiner Antispam-Lösung.

Deshalb hier nur kurz ergänzend der Hinweis auf meinen Blogbeitrag “Antispam Bee: Einstellungen geändert“. Dort erkläre ich, warum ich hier auf Webseiten-Infos.de bei den Einstellungen von Antispam Bee das Häckchen für “Spam markieren, nicht löschen” setzte / setzen musste.

Von Vorteil wäre es für mich, wenn Antispam Bee auch beim Einsatz der Kommentarfunktion in den Templates für die Suche (search.php) und Archive (archive.php) richtige Kommentare erkennen, also nicht als Spam ansehen würde.

Nachtrag vom 14. Februar 2010:
Sergej führte mit der Version 1.3 bei Antispam Bee die Option “Kommentare finden auch außerhalb von Beiträgen Verwendung” ein. Damit hat er mir einen ganz großen Gefallen getan. Durch das Häckchen bei dieser Option werden richtige Kommentare auch erkannt, wenn sie bei einem Suchergebnis oder einer Archivseite getätigt wurden.

1.3. Simple Trackback Validation

Dieses Plugin löscht Spam Trackbacks indem es überprüft, ob

die IP-Adresse des Trackback-Absenders mit der IP-Adresse des Servers der Trackback-URL übereinstimmt und
die Webseite, von welcher die Trackback-URL kommt, in dem Trackback verwendet wird und diese Webseite einen Link zu meiner WordPress-Seite beinhaltet.

Ich entnehme der Beschreibung der Funktionalität des Plugins Antispam Bee, dass auch dieses Plugin Trackbacks auf diese Art und Weise auf Spam überprüft.

Testweise habe ich deshalb mal das Plugin Simple Trackback Validation deaktiviert. Sollte das Plugin Antispam Bee für das Zurückhalten von Trackback-Spam ausreichen, werde ich Simple Trackback Validation endgültig “in Rente schicken”.

1.4. SpamViewer

Streng genommen handelt es sich bei diesem WordPress-Plugin nicht um eine Maßnahme, die vor Spam schützt, sondern eine Hilfsmittel um die MySQL-Datenbank sauber zu halten. Unter anderem die Funktionalität Löschen von Spam-Kommentaren aus der MySQL-Datenbank stellt übrigens auch das Plugin WP-Optimize zur Verfügung.

SpamViewer “kann die falschen Einträge retten und unnötige Einträge in der Datenbank löschen, um diese klein zu halten.” Zugegebenermaßen habe ich dieses Plugin bisher wohl kaum genutzt. Im Dashboard des Administrationsbereichs (Backend) von WordPress kann ich über die eingeblendete Option “Aktuell” auch die als Spam angesehenen Kommentare aufrufen und dann endgültig Löschen, Bearbeiten oder doch Freigeben.

Ich habe deshalb dieses Plugin deaktiviert. Sieht so aus als ob ich es nicht (mehr) brauche.

Ein netter Nebeneffekt der Umfrage von Thomas ist also, dass ich dadurch auf nicht (mehr) benötigte Plugins aufmerksam wurde. Danke dafür!

2. Spam-Schutz mittels Einstellungen von WordPress

Neben Plugins habe ich aber auch WordPress so eingestellt, dass Kommentar-Spam erst überhaupt nicht in meinem Blog veröffentlicht wird. Dazu habe ich im Administrationsbereich (Backend) folgende Optionen unter Einstellungen > Diskussion ausgewählt:

Häckchen gesetzt bei

Benutzer müssen zum Kommentieren Name und E-Mail-Adresse hinterlassen und
bevor ein Kommentar erscheint, muss der Autor bereits einen genehmigten Kommentar geschrieben haben.

Darüber hinaus habe ich dort festgelegt, dass ein Kommentar in die Warteschlange zu schieben ist, wenn er mehr als 1 Link enthält (Eine hohe Anzahl von Links ist ein typisches Merkmal von Kommentar-Spam.).

Warum habe ich diese Einstellungen gewählt?

Nun, leider nahm die Zahl manueller SEO-Kommentare mit Keyword-Spam auf Webseiten-Infos.de in den letzten Monaten zu. Diesen Spam können die o.g. Plugins regelmäßig nicht automatisch herausfiltern.

Mein Eindruck ist, dass hier insbesondere unseriöse Webdesigner und Agenturen versuchen das Ranking von Kundenseiten durch Rückverweise (Backlinks) mittels solcher SEO-Kommentare in Blogs zu verbessern. Einige Seiten von Webseiten-Infos.de dürften da auch angesichts eines guten PageRanks sowie guter SERPs besonders beliebte Ziele von SEO-Spammern sein.

Natürlich würde ich gerne darauf verzichten, Erstkommentare und Kommentare mit einem Link oder mehreren Links erst nach Freischaltung erscheinen zu lassen. Gegenüber dem Einsatz eines Captcha halte ich das aber für die benutzerfreundlichere und zugänglichere Variante. Sobald ich den ersten Kommentar freigeschaltet habe, erscheinen dann weitere Kommentare direkt.

Letztendlich werden also manuelle Kommentare von mir manuell dahingehend geprüft, ob es sich um SEO-Spam handelt. Komme ich zu der Einschätzung SEO-Spam, dann

entferne ich den Link und / oder
ändere den Namen in Name-gelöscht oder
markiere den Kommentar für Akismet als Spam und lösche ihn (siehe hierzu auch meinen Blogbeitrag “Kommentar-Spam bekämpfen“).

Im Übrigen denke ich aktuell darüber nach, den Text zum Eingabefeld Namen für Kommentare in nächster Zeit noch um den Hinweis “kein SEO” zu ergänzen.

3. Spam-Schutz via .htaccess

1. IP-Adressen aussperren

Meine .htaccess-Datei enthält Zugangsblockaden für besonders häufig auftretende IP-Adressen von Spammern und eine Browserkennung (User Agent).

Leider kommen die meisten Spam-Kommentare über verschiedene, sprich ständig wechselnde IP-Adressen. Da artet das Sperren von IP-Adressen zum Hase/Igel-Wettrennen aus.

Andererseits gibt es gelegentlich doch so dumme Spammer, die immer über dieselbe IP-Adresse ihren Drecks-Kommentar absetzen. Hiergegen hilft dann die Zugangssperre via .htaccess-Datei.

Zur Veranschaulichung hier ein Auszug aus meiner .htaccess-Datei:

1
2
3
4
5
6
7

# BLACKLIST CANDIDATES

Order Allow,Deny
Allow from all
Deny from 82.195.246.198 "# SEO-Spammer 2009-11-07"
Deny from 84.184.240.191 "# Schmuck edelwelten 2009-11-08"

Bei Thomas Scholz gibt es in seinem Blogbeitrag “Spam verhindern mit Akismet und .htaccess” übrigens weitere lesenswerte Hinweise auf den Einsatz der .htaccess-Datei zum Sperren von IP-Adressen.

2. User-Agent blockieren

Erstaunlicherweise erfolgte bereits mehrmals eine regelrechte Attacke mit SEO-Spam auf Webseiten-Infos.de. Leider erfolgte jeder Angriffsversuch von einer anderen IP-Adresse. Gut, dass Antispam Bee diesen Spam erkannte. Ärgerlich war jedoch, dass das deutlich die Besucherstatistik verfälschte und Serverkapazitäten beanspruchte.

Da bei diesen Spam-Attacken alle Zugriffe aber mit dem gleichen User Agent (UA) erfolgte und ich ansonsten keinen nennenswerten Gebrauch dieses User Agent (UA) feststellen konnte, bekommen Besucher mit diesem User Agent (UA) keinen Zugang mehr zu Webseiten-Infos.de.

Auch dies habe ich mittels einer Ergänzung meiner .htaccess-Datei realisiert. Hier der Auszug aus der .htaccess-Datei:

1
2
3
4
5
6
7
8

# Block Bad Bots by user-agent
SetEnvIfNoCase User-Agent "Mozilla/4\.0 \(compatible; MSIE 6\.0; Windows NT 5\.1; SV1\)" bad_bot

order allow,deny
allow from all
deny from env=bad_bot

Im Bedarfsfalle beabsichtige ich meine .htaccess-Datei um entsprechende Einträge zu erweitern.

4. Mein persönliches Fazit

Die Idee von Thomas Scholz aka toscho, dass wir mal über die Mittel bloggen sollten, mit denen wir unsere Website gegen Spam schützen, kam genau zur richtigen Zeit. Ein solcher Blogbeitrag war auf Webseiten-Infos.de überfällig.
Lässt doch der Informationsaustausch über eingesetzte Schutzmaßnahmen gegen Spam bisher zu wünschen übrig, ist also verbesserungsfähig und -bedürftig.
Dank der Beschäftigung mit meinen Maßnahmen zum Schutz gegen Spam im Rahmen dieses Blogbeitrags konnte ich zwei Plugins einsparen.
So wie es derzeit aussieht, werde ich wohl in Zukunft weiterhin auf Akisment und Antispam Bee als Plugins setzen.
Darüber hinaus werde ich wohl auch meine Einstellungen von WordPress zum Kommentieren weiterhin so belassen.
Die .htaccess-Datei werde ich schließlich im Bedarfsfalle weiter ergänzen.
Ich hoffe, dieser doch längliche Blogbeitrag hilft dem einem oder anderen Betreiber von Webseiten und insbesondere WordPress-Nutzern bei der erfolgreichen Bekämpfung von Spam.

Fehlerhinweise und Anmerkungen nehme ich gerne jederzeit entgegen.
Die Kommentarfunktion steht dazu zur Verfügung.

Kommentare

15. Januar 2010, Sergej Müller schreibt: Vielen Dank für die ausführliche Zusammenfassung und die Empfehlung meiner Antispam Bee. Ich habe lange überlegt, ob das Plugin auch Archivseiten unterstützen soll, aber da scheinbar dieser Anwendungsfall kaum Verwendung findet, habe ich mir die Mühe gespart. (Auch bei dir wird in den Cats kaum bis gar nicht kommentiert) ;)
15. Januar 2010, Antispam Bee – Meine WordPress Antispam Lösung - Antispam, Spam, Akismet, Spamkommentare, Plugin, Lösung - dynamicinternet schreibt: [...] Dieter Welzel: Spamschutz auf Webseiten-Infos.de [...]
16. Januar 2010, Ute schreibt: Gewohnt gut, da kann ich mir einen Artikel sparen. ;) Ich setze Akismet und Simple Trackback Validation ein. Der Hinweis auf Name nicht Keyword scheint nur selten zu helfen, ich ändere dann kommentarlos in "ohne_namensnennung". Bislang fing Akismet 26.057 Spams auf uteles Blog mit einer Genauigkeit von 99.864% und 13.609 auf miradlo bloggt mit 99.851% Funktionsfähig ist Akismet schon, aber mich stört noch immer, dass es ein zentraler Dienst ist.
16. Januar 2010, Dieter schreibt: @Sergej Dein Plugin Antispam Bee finde ich wie alle Deine mir bekannten Plugins, und das sind fast alle, einfach klasse. Dass ich auf Webseiten-Infos.de WordPress gegenüber den Standardeinstellungen stark modifiziert habe, ist für einige kleine Probleme ursächlich. Und in der Tat, Kommentare über die Archivseiten kommen wohl selten vor. Es hat jedenfalls lange gedauert, bis ich mal auf einen automatisch gelöschten Kommentar hingewiesen wurde. Gleichwohl wäre es für mich bequem, wenn Antispam Bee auch bei Archiv- und Suchergebnisseiten Spam-Kommentare automatisch löschen und es dabei nicht zu false positive kommen würde. Hilfreich wäre für so "WP-Bastelfreaks" wie mich, wenn dazu ein gut platzierter Hinweis in der Anleitung zu Antispam Bee zu finden wäre. Dann weiß der Nutzer, dass er in solchen Fällen Antispam Bee besser nur mit Häckchen setzen bei "Spam markieren, nicht löschen" nutzt. @Ute Danke! Das geht runter wie Öl. :freu: Und wow, bei Dir hat Akismet ja schon richtig heftig viel Spam abgefangen. Zudem ist die Erkennungsquote für Spam noch höher. Auch ich bin nicht glücklich darüber, dass Akismet ein zentraler Dienst ist. Ich bevorzuge Unabhängigkeit von externen Diensten bei meinen Webpräsenzen. Jedoch habe ich den Eindruck, dass die Kombination von zentralem (Akismet) und lokalem Spam-Schutz (Antispam Bee) zu den besten Resultaten und zum geringsten Aufwand für den Betreiber führt. So aus dem Stehgreif fallen mir nur folgende drei externe Dienste ein, die ich auf Webseiten-Infos.de einsetze: - Akismet vom WordPress-Entwickler Automattic - Gravatar ebenfalls von Automattic - Google Maps von Google Das Thema Pro und Contra für die einzelnen externen Dienste ist auch mal den einen oder anderen Blogbeitrag wert. ;-)
16. Januar 2010, Sergej Müller schreibt: Morgen Dieter. In der Antispam Bee Anleitung wird auch empfohlen, "nach der Inbetriebnahme des Plugins sind die Kommentarfelder auf korrekte Funktionsweise zu kontrollieren". Da müsste dir auffallen, dass auf Archivseiten etwas nicht stimmt ;) Ich könnte die Unterstützung für Archivseiten und die Suche in einem Befehl implementieren - eine Zeile genügt. Allerdings denke ich dabei an die Nutzer, die Formulare nur in Beiträgen einsetzen - da wird Antispam Bee allerdings vergeblich nach dem Kommentarformular in den Kategorien etc. suchen (was an sich nicht schlimm ist, kostet nur unnötig Performance). Vielleicht als Option? Aber danke für den Hinweis, ich werde die Anleitung am einen Satz erweitern und Menschen darauf hinweisen. Nutzer-Feedback wie deins hier ist immer goldwert. Merci.
16. Januar 2010, Dieter schreibt: Morgen Sergej,
Vielleicht als Option?
Das fände ich geil! Entschuldigung für den sprachlichen Ausrutscher, ich meine natürlich toll. Allerdings muss ich zugeben, dass ich keine Ahnung habe, inwieweit andere WordPress-Nutzer entsprechende Änderungen an der archive.php und search.php vornehmen.
Aber danke für den Hinweis, ich werde die Anleitung am einen Satz erweitern und Menschen darauf hinweisen. Nutzer-Feedback wie deins hier ist immer goldwert. Merci.
Den Dank muss und möchte ich gerne zurückgeben. Deine Plugins sind einfach genial.
19. Februar 2010, wp-popular.com » Blog Archive » Spam-Schutz auf Webseiten-Infos.de | Webseiten-Infos.de schreibt: [...] more: Spam-Schutz auf Webseiten-Infos.de | Webseiten-Infos.de Tags: antispam, [...]
5. Dezember 2010, Peter schreibt: Herzlichen Dank für den super Beitrag! Hat mir sehr weitergeholfen :)
5. Dezember 2010, Dieter schreibt: @Peter Freut mich. Ebenfalls hilfreich in diesem Zusammenhang: Hinweise für Kommentare und Kommentar-Spam bekämpfen. ;-)
21. Dezember 2011, Empfehlenswerte externe Dienste | Webseiten-Infos.de schreibt: [...] Akismet zum Schutz vor Spam im Zusammenspiel mit dem WordPress-Plugin Akisment von Automattic (siehe hierzu meinen Blogbeitrag “Spam-Schutz auf Webseiten-Infos.de“) [...]
21. Dezember 2011, Spamabwehr mit Antispam Bee | Webseiten-Infos.de schreibt: [...] bekämpfen“, “Antispam Bee: Einstellungen geändert“, “Spam-Schutz auf Webseiten-Infos.de” und “Spamschutz nur mit Antispam [...]

Webseiten-Infos.de » Mathetest