WordPress: Spam wirkungsvoll verhindern

Seit Jahren setze ich auf verschiedenen Blogs das Plugin AntiSpam Bee von Sergej Müller ein, um mich vor Spam zu schützen. Das funktioniert ohne große Einstellungen in der Regel hervorragend. In den letzten Tagen allerdings hat es etlichen Spam durchgelassen. Nicht nur bei mir, sondern auch bei anderen.

Also habe ich mich entschlossen, das Plugin „Stop Spammer Registrations Plugin“ als zusätzliche Hilfe zu installieren. Zunächst stelle ich es vor, weiter unten habe ich noch meine gesetzten Einstellungen aufgeschrieben.

Vorstellung des Plugins

Wordpress Plugin - Stop Spammer Registrations Plugin
Screenshot aus dem WordPress-Pluginverzeichnis

Das Plugin kann zweierlei. Einerseits unterbindet es mit verschiedenen Methoden wirkungsvoll Spam und es filtert auch Spamanmeldungen heraus, falls man auf seinem Blog den Anwendern die Möglichkeit lässt, sich zu registrieren.

Das Plugin benutzt verschiedene Möglichkeiten, um Spam zu erkennen. So kann es Datenbanken einiger externer Dienste anzapfen, um zu schauen, ob der Kommentar(tor) schon auf anderen Blogs sein Unwesen getrieben hat. Wie auch AntiSpam Bee, kann das Project HoneyPot angezapt werden, aber auch Stop Forum Spam, BotScout und die wordpresseigene Spamfilterung, die normalerweise nur per Akismetplugin funktioniert. Wer diese Quellen nutzt, sollte sich allerdings im Klaren sein, dass bei allen die IP-Adresse des Users, und bei einigen zusätzlich Name bzw. E-Mailadresse an den jeweiligen Dienst übermittelt werden. Das ist möglicherweise bei persönlichen Informationen wie E-Mailadresse und Name nicht mit dem deutschen Datenschutzrecht vereinbar, da diese Daten nicht auf Nicht-EU-Servern lagern dürfen.

Ich habe mich auf michaelsonntag.net dafür entschieden, nur das Project HoneyPot heranzuziehen, denn es übermittelt nur die IP-Adresse. Nur äußerst lästige Spammer, die durch alle Schranken brechen, werde ich händisch an Stop Forum Spam melden. Das steht auch nochmal in meinem Datenschutzhinweis.

Ansonsten gibt es noch ein Automatismen, mit dem das Plugin arbeitet. So prüft es beispielsweise innerhalb welcher Zeitspanne nach Aufruf der Seite ein Kommentar abgegeben wurde. Falls er innerhalb sechs Sekunden geschrieben wird, kann davon ausgegangen werden, dass es Spam ist. Das Plugin kann auch prüfen, ob der HTTP-Header vollständig ist oder ob der User-Agent des Browsers gesetzt ist.

Über Black- und Whitelisten können IP-Adressen und E-Mails aus- oder eingeschlossen werden. Das Blockieren von Domains (TLDs) ist auch möglich, wie auch das Ausschließen von Kommentaren per Wörterbuch. Die IP-Adressen der Spammer landen auch automatisch auf der Blacklist.

Ich habe das Stop Spammer Registrations Plugin hier seit zwei Tagen im Einsatz und es hat mir trotz AntiSpam Bee schon knapp 80 Spamkommentare herausgefiltert. Und ich weiß auch aus Erfahrung anderswo, dass es beim Erkennen von Spamregistrierungen sehr gut funktioniert.

Meine Einstellungen

Mit den folgenden Einstellungen läuft es momentan recht gut hier:

API Keys

Ich habe API-Keys für Stop Forum Spam und Project Honeypot eingetragen.

Spam Limits

Diese Einstellungen habe ich so gelassen, wie sie sind

Other Checks

Ich liste jetzt nur die Einstellungen auf, die angehakt sind:

  • Block Spam missing the HTTP_ACCEPT header
    Blockiert User, die einen unvollständigen HTTP-Header senden
  • Block with missing or invalid HTTP_REFERER
    Blockiert User, die keinen oder einen ungültigen Referrer senden
  • Deny disposable email addresses
    Blockiert User, die mit Wegwerf-E-Mailadressen kommentieren möchten. Das grenzt möglicherweise einige aus
  • Check for long emails or author name
    Blockiert User, deren Name oder E-Mailadresse länger als 64 Zeichen ist
  • Check for missing HTTP_USER_AGENT
    Blockiert User, deren Browserkennung fehlt. Die meisten Skripte, die Spam verteilen, haben keinen.
  • Check session for quick responses (disabled if caching is active)
    Blockiert User, die innerhalb von sechs Sekunden nach Aufruf der Seite kommentieren. Menschen brauchen in der Regel länger, um den Inhalt der Seite zu erfassen.
  • Check against list of Ubiquity-Nobis and other Spam Server IPs
    Blockiert User, deren E-Mailadresse auf Servern liegt, die als Spammer bekannt sind
  • Automatically add admins to white list
    Fügt Admins automatisch in die Whitelist ein, damit sie nicht gesperrt werden können.

Lists

Hier habe ich den Haken bei „Check Spam Words“ gesetzt.

Events to Check

Auch hier ist alles angehakt.

Ich werde jetzt noch schauen, ob dieses Plugin langfristig Antispam Bee ablösen kann, denn ich bin der Meinung, dass man im Blog nur soviele Plugins wie nötig laufen lassen sollte.

4 Gedanken zu “WordPress: Spam wirkungsvoll verhindern

  1. Auch die Weitergabe der IP an Project Honeypot ist datenschutzrechtlich hochproblematisch, da der Dienst teilweise in den USA läuft und die IP personenbezogen ist. Das ist nur unter ganz bestimmten Voraussetzungen wie einem Vertrag zur Auftragsdatenverarbeitung zulässig, der hier nicht vorliegt.

    1. Danke für den Hinweis. Ich hab die Weiterleitung an Honeypot mal abgeschaltet. Sollte sich allerdings rausstellen, dass hier mehr Spam ungefiltert aufschlägt, dann schalte ich es wieder ein. Ansonsten lasse ich das Plugin einfach mal weiterlaufen. Als sehr wirksam hat sich bisher die Option „Check session for quick responses“ erwiesen, die den meisten Spam erkennt und abweist.

  2. Danke für den ausführlichen Artikel, arbeite gerade an einem WordPress Blog, der jetzt seit zwei Tagen online ist und schon jetzt flattern die ersten Spam Mails herein.
    PS: Dein Design gefällt mir 😀

Die Kommentarfunktion ist geschlossen.