Jun 01 2011

Spam bekämpfen: Anti Spam Plugins für WordPress

veröffentlicht in Kategorie Online  

Ja, dieses Blog hier wird im Moment gerade böse zugespammt. So um die 500 Spam Comments pro Tag prasseln hier seit ca. 1 Woche auf mein kleines belangloses Blog ein. Ich bin aber relativ stur, ich will weiterhin das anonyme Kommentieren möglich lassen, also heisst es: Spamfilter für mein WordPress Blog aufrüsten. Was sich hier die letzte Zeit bewährt hat, gibts nach dem Klick.

WP-SpamFree Plugin

Schon seit zig Jahren nutze ich WP-Spamfree. Es versucht, beim Absenden eines Kommentares zu prüfen, ob es sich hierbei um einen Spambot handelt oder um einen echten Nutzer. Jahrelang war dies ausreichend als Schutz für mein Blog und es blockt auch jetzt noch eine ganze Menge Spams, die gar nicht erst in die Moderations-Queue gelangen. Aber in dieser aktuellen Welle von sinnlos Kommentaren mit einem einzelnen Spam Link im Homepage Feld sieht es leider alt aus. Diese Art von Comment Spam lässt es leider ungehindert durch. WP-Spamfree ist nun seit einem Jahr nicht mehr aktualisiert worden. Aus einem mir nicht nachvollziehbaren Grund (der Autor soll wohl selbst gespammt haben?) wurde das WP-Spamfree Plugin aus der Plugin Bibliothek von WordPress entfernt und so wie es aussieht, hat der Autor auch keine Ambitionien mehr, daran etwas zu ändern. Es funktioniert nichts destotrotz weiterhin auch mit WordPress 3.1.3 und vor allem auch im Zusammenspiel mit was ich jetzt einfach mal 2nd Level Spamkiller für Blogkommentare nennen mag. Zusätzlich zur Vorabfilterung erweitert WP-Spamfree die Admin Mails über neue Kommentare um weitere nützliche Analysefunktionen sowie einem Link, um die Spammer IP zur WordPress Blacklist hinzuzufügen. Mit der zuschaltbaren “Enhanced Blacklist” Funktion, werden “blockierte” IP Adressen nicht mehr nur in die Spam Schlange sortiert, sondern tatsächlich komplett geblockt. Eine Debug Funktion kann sämtliche Filteraktivitäten protokollieren und man kann dem Plugin so auf die Finger schauen. Wer es mal ausprobieren mag, kann es hier downloaden: http://www.polepositionmarketing.com/library/wp-spamfree/

Bitdefender 4 Blogs

Als 2. Verteidigungslinie hinter WP-Spamfree versuchte ich die letzte Tage das kostenlose Bitdefender 4 Blogs Plugin, ja, anscheinend ins Leben gerufen von/mit den Machern der bekannten Bitdefender Antivirus/Antispam/Sicherheitssuite für den PCs daheim. Bitdefender 4 Blogs vergleicht, wie auch der bekannteste Vertreter dieser Art von Anti-Spam Lösungen Akismet, jeden abgesendeten Kommentar mit einer Referenzliste auf den Bitdefender Servern und entscheidet dann, ob es sich bei diesem Kommentar um Spam oder nicht handelt. Im Vergleich zu Akismet bietet Bitdefender 4 Blogs ein paar praktische zusätzliche Optionen, als wichtigste möchte ich hier gleich mal das Filterprotokoll nennen, dort wird genau nachvollziehbar angezeigt, was mit einem Kommentar passiert ist. Dann gleich darauf die sehr praktische Möglichkeit, aus der Spam bzw. Moderations-Warteschlange heraus die Absender IP des Spammers in die Blackliste von WordPress aufzunehmen oder in eine Whitlist einzutragen. Man mag sich nun darüber streiten, ob das IP basierte Filtern Sinn macht oder nicht, aber ich denke im Grunde kann man sagen: sowas kann durchaus hilfreich sein. Auch das kann Akismet nicht. Dann gibts es noch zusätzlich Kyrillisch/Asiatisch Zeichensatz Filter, wählbare Filterstärke generell und die Option, Kommentare auf Posts älter als 30 Tage automatisch als Spam zu markieren. Alles in allem spricht mich Bitdefender for Blogs wesentlich mehr an, als Akismet es tut, aber leider, leider hat es sich selbst auf der höchsten Filterstufe als nicht ganz so zuverlässig erwiesen wie Akismet. Zwar waren es nur 2-3 Kommentarspams am Tag, die es an Bitdefender vorbei schafften, aber bei Akismet waren es eben Null, bei null false Positives.

Ein riesen Plus hat Bitdefender 4 Blogs allerdings: man kann damit auch nachträglich ein völlig verspammtes Blog aufräumen lassen, in dem man alle bereits in der Kommentardatenbank vorhandenen Kommentare einfach nochmal neu Scannen lässt. Wer also, nachdem das Kind sozusagen schon in den Brunnen gefallen ist, mal gründlich aufräumen will, sollte zumindest einmal Bitdefender durchlaufen lassen. Aber Vorsicht: als ich das bei mir getan habe, hat er mir leider 1% false Positives als Spam markiert, abwohl diese völlig legitim waren, teilweise von mir selbst geschrieben :-)

Bitdefender für Blogs ist normal über das Plugin Menü erreichbar und installierbar.

Akismet

Was soll man dazu noch gross schreiben, ist wohl das bekannteste Anti Kommentarspam Plugin für WordPress. Was mich stört: es gibt zwar eine hübsche Statistik, aber keinerlei Protokoll.  Die einzige Option, die es in Akismet gibt, ist es Spams auf Blogposts älter als 30 Tage automatisch löschen zu lassen, so dass man sich gar nicht erst mit der Spam Queue aufhalten muss, leider halt nur die Älter als 30 Tage, so dass immer noch genug Müll in der Queue landet. Da es jedoch keine Protokollfunktion gibt, muss man da schon gutes Vertrauen in Akismet haben. Allerdings sind die Erkennungsraten beachtlich: keine false Positives und bisher kein Spam durchgelassen. Akismet war bei mir vorinstalliert bei der WordPress Installation,  allerdings in der für Deutschland datenschutzrechtlich bedenklichen Originalvariante. Siehe Abschnitt Datenschutz weiter unten.

Block Top Spammers

Weder Akismet noch Bitdefender 4 Blogs ersparen es einem, die Spam Warteschlange zu kontrollieren. Sie verhindern den Spam nicht, sondern sortieren ihn nur aus. Das Block Top Spammers Plugin macht nun folgendes: es wertet die Absender IPs der von Akismet oder Bitdefender 4 Blogs oder sonstwem in den Spamfilter geschaufelten Spamkommentare aus und erlaubt es per Knopfdruck diese in die .htaccess des Blogservers einzutragen. Auf diese Weise wird den als Spammer identifizierten IP Adressen der Zugriff auf das “Kommentar absenden”-Script gesperrt, eine so gesperrte IP kann künftig keine Kommentare mehr senden. Die Liste der blockierten IP Adressen in der .htaccess wird konsequent weiter fortgeschrieben, übrigens fein sortiert, auch über die 25 Top Spammer hinaus, insofern ist da die Beschreibung etwas mißverständlich. Auch hier könnte man nun wieder die Diskussion starten, wie sinnvoll das Sperren von IP Adressen ist. In meinem konkreten Fall hilt es, da meine Spammer aus klar definierten Subnetzen kommen. Noch lieber wäre es mir, wenn Blog Top Spammers gleich den kompletten Zugriff auf das Blog sperren würde, ich mag keine Spammer. Und, ja mit nur minimal Kenntnissen der .htaccess Datei kann man das auch selbst erledigen, aber ich bin nunmal von natur aus eher faul. Nichts desto trotz habe ich mit kindischer Genugtuung das Block Top Spammers Plugin schnell dahingehend modifiziert, dass nun jeglicher Zugriff über eine geblockte IP komplett verhindert wird, die sehen nicht mal mehr die Startseite.

Block Top Spammers ist kostenlos übers Plugin Menü erhältlich.

WordPress Blacklist vs .htaccess vs. wp-spamfree Enhanced

Wer nun aufmerksam bis hier hin gelesen hat, dem wird aufgefallen sein, dass die Block Top Spammer Funktion der Bitdefender 4 Blogs Funktion “Blacklist IP” sehr ähnlich ist, ja, stimmt. Der Unterschied ist allerdings: Bitdefender 4 Blogs blacklistet innerhalb von WordPress eigener Kommentar-Blackliste während Block Top Spammers dazu die .htaccess Datei nutzt.

Das macht einen kleinen aber entscheidenden Unterschied: Die .htaccess Sperre verhindert den Spam Versand einer gelisteten IP von vornerein. Das normale Verhalten der Blacklist in WordPress jedoch verhindert gar nicht das Absenden von Kommentaren, es zwingt den Kommentar lediglich auf die Spam Liste, man muss sich mit dem Spam also immer noch in der Spam Queue herumschlagen. Ein Punkt für .htaccess Filter wenn man so mag.

Jetzt kommt wp-spamfrees zuschaltbarer Enhanced Modus ins Spiel, aktiviert man diesen Enhanced Modus, wird das Verhalten der WordPress Blacklist dahingehend verändert, dass Kommentare von IPs nicht mehr nur nach Spam geschoben werden, sondern ebenfalls effektiv abgewiesen werden. Durch WP-Spamfree gewinnt die Blackliste von WordPress also deutlich an Biss und zieht mit der Wirksamkeit der .htaccess Filterung gleich auf und so gewänne auch Bitdefender 4 Blogs “IP blacklisten”-Funktion wieder an Wert.

In Bitdefender for Blogs muss ich jede IP von Hand anklicken um Sie auf die WordPress Blackliste zu bringen, die allerdings nur zusammen mit wp-spamfree wirklich Spam abblockt.

Top Block Spammers macht mir auf Wunsch bis zu 25 IPs aufs mal und sperrt diese zuverlässig über die htaccess.

wp-spamfree für sich alleine genommen kann nur über den Link in der Kommentarbenachrichtigung IP Adressen zur WordPress Blackliste hinzufügen, ist also etwas unbequemer als die beiden vorgenannten. Wer 500 Spams am Morgen vorfindet und diese blockieren will wird den Unterschied deutlich merken.

Akismet hat weder was mit der WordPress Blackliste noch mit der .htaccess am Hut, es beschränkt sich also rein aufs Filtern und verschenkt hier Potential.

 

Was mir zu meinem Glück fehlt..

Ich will gar nicht mehr gross die Spam Warteschlange durchackern müssen, ich möchte Spam radikal entfernt haben, ich will ihn überhaupt nicht mehr sehen müssen, nicht einen einzigen Spam, nicht in der Queue, nicht in meiner eMail, nirgends. Am liebsten würde ich Spammer komplett vom Server verbannen. Auf nimmer wieder sehen. Ich wünschte mir eine noch effektiver Erkennung, noch bevor der Spam überhaupt in die Datenbank geschrieben wird.. So wie es im Moment ausschaut, bekomme ich das nur durch die Kombination mehrerer Antispam Tools für WordPress gleichzeitig.

WP-Spamfree und Bitdefender zusammen macht die Blacklist in WordPress scharf und bequem nutzbar.. Klingt nicht nur gut, funktioniert auch in der Praxis ordentlich, aber leider nicht 100% perfekt.

Oder sch. auf die WordPress Blackliste und nehmen wir lieber Akismet und Block Top Spammers?  Gerade weil bei WP-Spamfree irgendwas im Busch ist und es wohl auch nicht mehr weiter entwickelt wird?

Eine gute WordPress Blacklist Funktionalität und die .htaccess Filterung halte ich für doppelt gemoppelt und zusätzlich Arbeit.. Aber WP-SPamfree, Akismet und Block Top Spammer hat halt auch so einen Reiz, weil die Voraberkennung halt schon gut vorsortiert..

Ah, decisions, decisions..  Ich sehe, ich muss noch viel mehr testen..

Als nächstes werde ich wohl auch mal noch den Ansatz mit Captchas anstatt WP-Spamfree versuchen, aber mich persönlich nerven Captchas ganz fürchterlich. Ich kann die meistens nicht richtig lesen, dann wirds einfach nur noch frustrierend.

Antispam und der Datenschutz:

Zumindest Akismet hat ein Datenschutzproblem, wahrscheinlich auch Bitdefender: werden zur Spamanalyse Daten an einen Dritten in die USA übertragen, der nicht mindestens dem Safe Harbour Abkommen beigetreten ist, muss ein Blogbetreiber, der einen solchen Spamfilter einsetzt, eigentlich zuerst auf die Datenübertragung ins Ausland hinweisen und per Opt In die Erlaubnis dazu einholen.

In Konsequenz macht sich ein deutscher Blogbetreiber, der Akisment ohne diese Vorsichtsmaßnahme einsetzt angreifbar und er könnte abgemahnt werden. Für Akisment gibt es daher eine spezielle Privacy Policy Plugin Variante im Plugin Verzeichnis, welche diese Genehmigung vor dem Post des Kommentars erst einholt und damit die Gefahr bannt. Bitte auch lesen: http://spreerecht.de/datenschutz/2011-05/mit-akismet-privacy-policies-plugin-spamabwehr-in-wordpress-rechtssicher-machen

Bitdefender könnte als namhafter Anbieter bereits dem Safe Harbour Abkommen beigetreten sein, mal schauen, ob die auf eine entsprechende Anfrage antworten. Ich persönlich werde auf den Einsatz von Akismet verzichten und Bitdefenders Antwort mal abwarten.

wp-spamfree und Block Top Spammers senden keine Userdaten ins Ausland, sind damit unbedenklich.

 

Nachtrag:

Diee Bitdefender hat heute in gut 12 Stunden 40 Spams nicht erkannt und live geschalten. Das isn bissl arg viel. Dazu die Unklarheit in Sachen Datenschutz & Abmahngefahr. Ich schalte das erst mal wieder ab und versuche mal NixSpam und AntiSpam Bee.. Ich werde in ein paar Tageb berichten.

One response so far

One Response to “Spam bekämpfen: Anti Spam Plugins für WordPress”

  1. […] Will man weiter gehen, so lassen sich die eingehenden Kommentare dann auf Wunsch auch noch gegen eine Blackliste aus dem Projekt Honey Pot prüfen und zu guter letzt kann man noch auf eine GeoIP basierte Blackliste zurückgreifen, um z.b. Spamverrufene Länder gleich von vorne auszufiltern (WhiteListing ebenfalls möglich). Aktiviert man diese beide Optionen könnte man dann allerdings in Deutschland eventuell wieder Probleme mit dem Datenschutz bekommen, siehe meinen letzten Post zum Thema Antispam Tools für WordPress […]

Trackback URI | Comments RSS

Kommentar dazu? (Geht anonym und ganz ohne Anmeldung)