Nachdem ich wieder mal gegen Captchas gewettert habe, muss ich mal erzählen, wie ich gegen Spams vorgehe.
Schon mit der Blogsoftware Serendipity habe ich einen Honeypot verwendet, um Spam in den Kommentaren abzuwehren.
Der Begriff Honeypot ist sehr treffend. Denn hier bekommen Spambots ein Feld im Kommentarformular angezeigt, das für alle menschlichen Benutzer ausgeblendet ist. Wenn der Bot nun brav etwas in dieses Feld schreibt, dann wird er dadurch als Bot erkannt und der Kommentar wird in den Spamordner verschoben.
Um das Ganze in WordPress zu realisieren verwende ich das Plugin „Antispam Bee„. Das Plugin ist kosten- und werbefrei. Die Funktionen gehen über das hinaus, was ein Honeypot so kann. Aber gerade in der Kombination wird die Abwehr besser. Aus der Funktionsliste:
- Vertraue genehmigten Kommentatoren.
- Vertraue Kommentatoren mit Gravatar.
- Berücksichtige die Kommentarzeit.
- Kommentare nur in einer bestimmten Sprache zulassen.
- Kommentare aus bestimmten Ursprungsländern blockieren oder zulassen.
- Behandle BBCode-Links als Spam.
- Verwende reguläre Ausdrücke.
- Durchsuche die lokale Spam-Datenbank nach bereits markierten Spam-Kommentatoren.
- Benachrichtige Admins per E-Mail über eingehenden Spam.
- Lösche vorhandenen Spam nach n Tagen.
- Begrenze die Genehmigung auf Kommentare/Pings (andere Kommentartypen werden gelöscht).
- Wähle Spam-Indikatoren, um Kommentare direkt zu löschen.
- Schließe optional Track- und Pingbacks von der Spam-Erkennung aus.
- Prüfe optional Kommentarformulare auf Archivseiten auf Spam.
- Zeige eine Spam-Statistik im Dashboard an, einschließlich täglicher Aktualisierungen der Spam-Erkennungsrate und der Summe der blockierten Spam-Kommentare.
Das Plugin funktioniert für mich recht zuverlässig. Im Durchschnitt filtert es täglich 50 bis 100 Spam-Kommentare heraus und verschiebt sie in den Spam-Bereich. Echte Kommentare werden zuverlässig durchgelassen.
Und dann verwende ich noch „Contact Form 7“ für (Kontakt)Formulare. Dafür gibt es ein weiteres Plugin „Honeypot for Contact Form 7„. Mit diesem kann ich die entsprechenden Honigtöpfe – also die nicht zu verwendenden Felder – selbst erstellen und in meine Formulare einfügen.
Zeitweise hat das Plugin immer wieder Bots durchgelassen und ich habe eine entsprechende Mail erhalten – denn jede abgeschlossene Formulareingabe wird per Mail an mich geschickt. Nachdem ich vor ein paar Tagen an den Einstellungen geschraubt habe, sollte auch dieses Problem behoben sein.
Fazit: Für mein Blog funktionieren die Honeypot-Plugins wunderbar. Sie arbeiten „lokal“, sind also (vermutlich) DSGVO-konform. Und sie nerven meine Nutzer:innen nicht mit nervigen Captchas.