Kommentarspam in WordPress blocken mit WP Captcha-Free
Gestern hat sch in den Kommentaren eines Posts eine kleine Diskusion entwickelt, wie mit Kommentarspam hier auf dem Blog umgegangen werden kann.
Die Ausgangssituation ist recht fix beschrieben: Seit einigen Monaten habe ich mit Kommentarspam hier im Blog zu kämpfen – es handelt sich um Kommentare von einem VladislavXX oder VladimirXX (wobei XX für eine wohl fortlaufende Nummer steht). Diese „Kommentare“ sind zumeist in kyrillisch abgefasst. Außerdem kommen noch die Klassiker á la „Buy Levitra online“ oder „hoy to enlarge your penis“ dazu.
Das Problem ist bekannt: Bots, also Rechner, die das Versenden von Kommentarspam automatisiert durchführen, füllen die zum Kommentieren vorhandenen Felder automatisch mit ihrem Mist aus. Dagegen kann man etwas tun: Ein Plugin für eine Captcha-Abfrage installieren. Das hat den Vorteil, dass hier gegengecheckt wird, ob an der Tastatur ein Mensch sitzt oder ob ein Bot spammt. Der Bot kann, selbst wenn er eine recht gute OCR verwendet, die verfremdeten und in einer Grafik hinterlegten Texte nicht auflösen. Der Mist an der Sacheist nur, dass machein echter Benutzer auch so seine Probleme mit der Auflösung der Textgrafik hat. Ein solches Captcha ist zwar eine recht gute Möglichkeit, Spammer von den Kommentaren auszusperren, aber irgendwie freut man sich auch nicht, jeweils beim Kommentieren kryptische Grafiken dechiffrieren zu müssen.
Eine einfache (und bislang effektive) Alternative ist WP Captcha-Free. Das ist ein kleines Plugin, dass auf einem recht simplen Prinzip basiert. Das Plugin misst einfach die Zeit zwischen dem Aufruf eines Posts und dem Kommentieren. Ein Bot spammt in der Regel sofort los. Ein Mensch braucht mindestens die Zeit, sich auf der Seite zu orientieren, bevor er kommentiert. Diese wenigen Sekunden, ihre Zufälligkeit in der Länge, genügen, um einen Hash-Wert zu generieren, auf Grundlage dessen entschieden wird, ob nun der Bot oder ein Mensch kommentiert.
Der Vorteil für den Besucher des Blogs liegt auf der Hand: Die gewohnte Kommentarumgebung ist optisch identisch und es müssen keine Captcha-Rätsel geknackt werden.
Wie aber ist das Plugin zu installieren? Es ist simpel:
- Bei WordPress runterladen
- Entpacken
- den Ordner per FTP in das Verzeichnis /plugins der WP-Installation hochladen
- das Plugin im Adminmenü aktivieren
Es läuft stable und hilft – bis heute ist kein Spam aufgelaufen.
Habe auf deine Anregung hin das o. g. Plugin installiert und es scheint den Spam zu begrenzen. Wenn die Spammer allerdings eine Zeitverzögerung einbauen, hilft das Plugin auch nicht mehr.
In meinen Tutorials habe ich über das Plugin einen Artikel geschrieben und dich als Quelle angegeben:
http://www.web266.de/tutorials/wordpress/tipps-tricks/komentarspam-blockieren.html
Merci für deinen Trackback, Hans!
Also, ganz optimal funktioniert das nicht, aber ich konnte die Spammenge doch deutich begrenzen – von etwa dreißig am Tag auf etwa vier bis fünf pro Woche.
Das mag nicht perfekt sein, aber mir ist damit schon sehr geholfen:
* Für jede Spammail hbe ich einen Reminder aus WordPress via eMail bekommen. Damit hatte ich „doppelten Ärger“, einmal im WP selbst und dann auch noch Spam im Mailpostfach
* die vier, fünf Dinger, die da pro Woche kommen, die klicke ich einfach weg – das ist für mich ok und das ist es mir vor allem wert, denn so muss ich niemandem ein grafisches Captcha zumuten.
Ich bin ganz zufrieden…
Klar ist es möglich, via Verzögerung das Captcha zu umgehen, aber ich denke nicht, dass Spammer das machen, denn damit würde sich ja die täglich ausgestoßene Spammenge reduzieren.
Am Rande: Ich hab interessehalber das Plugin mal für einen Tag deaktiviert (nach drei Wochen Laufzeit) und es war wieder genau so viel Spam… Die Spammer streichen einen also nicht von ihrer „Liste“, wenn sie nicht „durchkommen“ sondern drücken munter weiter raus, egal, ob was ankommt oder nicht…
Wahrscheilich bedeutet das „einmal gespamt, immer gespamt“ 🙁
Hi,
ich nutze die Plugins Akismet, Ban, Antispam Bee und WP Captcha-Free und bekomme nun aktuell keine Spam mehr zu sehen. Im Backend werden nur die blockierten Angriffe (Tendenz steigend) angezeigt. Mal sehen, wie es weiter geht.