es gibt bei WordPress sicherlich superbe Tools, die Spam ganz gut abwehren. Die drei besten Tools sind Spam Karma, Akismet und Bad Behavior. Oder sagen wir besser, die beliebtesten Tools.
Das große Manko bei allen drei Tools: Sie knallen Dir bei Spamfluten ebenso die Datenbank voll, so wie die verrückten Spammer selbst. Alle drei Tools reporten nämlich jeden einzelnen Spamversuch inkl. Spamtext zusammen mit weiteren Infos in eine eigene DB-Tabelle. Das Kernproblem: Jeder schreibende DB-Zugriff kostet den Server Power und Zeit. Bis hin zum Exitus des Servers oder aber – so wie heute bei mir erneut – zu komatösen Responsezeiten.
Also her mit einer Methode, die eben nix in eine DB schreibt. Dem Hinweis von Michael bin ich gerne gefolgt und habe daher nun zwei neue Spamtools installiert. Eines davon hat Michael / Software Guide Blog selbst geschrieben:
1. Math Comment Spam Protection Plugin
Er erklärt dort die Einzelheiten. Vorteil: Kein Captcha-Kram und der Kommentar bleibt erhalten, wenn der User einen Fehler begangen hat. Einen Fehler? Ja, eine simple Addition falsch berechnet. Klaro könnten das die Spammer knacken, aber hey… so what.
2. Akismet steht als Ausputzer in der zweiten Verteidigunsgreihe bereit, um seine Blutgrätsche gegen Dribbelkünstler auszupacken.
3. Gegen Trackback-Spam habe ich das ebenfalls von Michael empfohlene Trackback Validator Plugin installiert. Es checkt, ob der Spammer einen Backlink in seinem „Text“ auf mein Blog gesetzt hat. Echte Spammer tun das nicht. Obwohl es mittlerweile findigere Spammer gibt, die via Tricks den Backlink tatsächlich einbauen, danach aber wieder rausnehmen. Und wenn schon, unser Ausputzer steht bereit.
Summa summarum eine sehr simple Maßnahme, die aufgrund der abgestuften Vorgehensweise meine Datenbank schon, so die Hoffnung den meisten Spam im Vorfeld abfängt und wenn was durckommt, dann in drei Gottes Namen soll Akismet halt rackern.
Und das mit der Trackback-Spam-Abwehr funktioniert auch bei echten Usern, die Trackbacks ohne Backlinks im Text setzen. Ganz frisches Beispiel ist >>. Das Tool hat das TB nicht durchgelassen.
Wenn Nr. 1 nicht so weit verbreitet ist, werden sich die Spammer vielleicht gar nicht damit abgeben, denn bei denen machts ja nur die Masse.
„Und das mit der Trackback-Spam-Abwehr funktioniert auch bei echten Usern, die Trackbacks ohne Backlinks im Text setzen.“
Find ich gut. Hat mich auch immer genervt. Was soll das überhaupt, TB ohne Link?
die Fragelösung lässt sich beliebig erweitern, so dass selbst die Spammer schon KI-Systeme bauen müssten, um die Fragen zu verstehen. Das bezweifle ich aber. Und solange wenige Blogs so eine supersimple Lösung nutzen, habe ich meine Ruhe 🙂 Dann muss ich auch die Fragen nicht variieren.
[…] nachdem ich gestern zwei ressourcenschonendere Abwehrmethoden installiert habe, ist der Server tatsächlich wieder ruhiger geworden. Scheint also zu funktionieren, warten wir die nächsten Tage ab. […]
vor allem auf Servern mit wenig RAM ist ein Counter ( Wenn auch Spam-Counter ) eher gefährlich als nützlich. Mein Server ging regelmäßig in die Knie und es lag nur an einem eigenen Counter ( zumindest sowas in der Art ), den ich da selbst nutzte. Datenbank wurde langsam, PHP-Aufrufe dadurch auch. Viele neue Versuche der Besucher …. So ging es immer weiter. Evtl. sollten solche Tools auf eine externe DB zugreifen. Die könnte man dann auf einem anderen Server laufen lassen. Da kann man dann auch Statistiken und Auswertungen machen, ohne den Wirkbetrieb zu stören.
[…] In der Nacht bei Robert Basic gelesen, möchte ich das Verfahren auch hier ausprobieren. Das Math Comment Spam Protection Plugin nutzt keine CAPTCHA sondern simple Rechenaufgaben um Spam-Comments vorzubeugen. CAPTCHAs sind unhandlich, da man sie oft nicht gut entziffern kann. Die neue Lösung sorgt dafür, das Spam erst gar nicht ins System gelangt. Und sollte das doch passieren, lauert Spam-Karma weiterhin im Hintergrund. Da hier an manchen Tagen über Tausend Angriffe erfolgen, freut sich der Server über Entlastung. Mal schauen, ob alles wie gedacht funktioniert. […]
Interessante Alternativmethode zu Captcha. Obwohl ich zugegeben muss, dass bei meiner Müdigkeit mir das banale Kopfrechnen doch schon etwas schwer fällt. 9+6 war 15, oder?
@4: Wieso Counter bzw. Datenbank?
Einfach Lösung und eingetippten Wert als Variablen übergeben und vergleichen, fertig.
Steht übrignes so auch in der Beschreibung bei sw-guide.de: „Das Ergebnis wird über eine PHP-Funktion codiert und über ein verstecktes Feld übertragen. Nach dem Absenden des Formulars wird auch die Benutzereingabe mit dem selben Algorithmus encodiert und mit dem Wert des versteckten Feldes verglichen. Wenn die Werte übereinstimmen, wird der Kommentar veröffentlicht.“
also nach dem aktuellen quellcod ezu urteilen, kann ich dir jetzt schon sagen, das dieser Additions-Schutz-Mechanismus nicht mehr lange greifen wird.
Leider steht die Addition im Quelltext und kann somit auch geparsed und automatisiert berechnet werden.
Optimal wäre es, wenn die Addition in einem Bildchen versteckt wäre!
np, das lässt sich regeln, indem man die Fragen leicht variiert. Aufgrund der Dummheit der PCs dürften auch Spammer ihre Probleme bekommen.
Sry wenn ich jetzt die Illusion dieses „Schutzes“ zerstöre, aber allein der „Schutz“ durch diese Rechenaufgabe wie sie hier gezeigt wird, ist für SPAMer ein Hindernis, welches in 5-10 Minuten umgangen werden kann.
Ich bin nun echt kein SPAM-Profi, oder kenne mich sonst irgendwie damit aus, aber ich hab es in wenigen Minuten geschafft, den Mechanismus zu umgehen:
Rein zur Demonstration zeige ich hier auf meiner Seite, die autmatisierte Berechnung des Ergebnis:
http://www.jens79.de/spam_mathprotection.php
selbstverständlich, sonst wärest Du ein schlechter Coder 🙂 Aber, die Masse der Verbreitung machts. Solange das kaum einer einsetzt, ist es wirksam. Wie bei jedem einfacheren Spamschutz. Was Du wohl aber kaum schaffen wirst, wenn ich anfange, die Aufgabe alphanumerisch zu variieren. Dann musst Du ein intelligentes Sprachprogramm bauen, woran sich schon lange die Sprachforscher die Zähne ausbeissen, was wir Menschen sofort kapieren.
Ist das eine Herausforderung? 😉
PS: Ja, es liegt einzig und allein am Verbeitungsgrad der Schutzmechanismen.
Denn die Übertäter wollen ja mit wenig Aufwand viel erreichen!
Da lohnt es kaum, nur weil 2-3 Blogs von, weiss ich was, 3Milliarden diesen Schutz einsetzen, ihre Scripte umzubauen.
[…] Robert verwendet seit 06.07. ebenso dieses Konzept, wie er unter Die sanfteste Methode gegen Werbemüll berichtet, und scheint bisher ebenso gute Erfahrungen zu machen. […]
Spam-Statistiken II…
Seit der letzten Spam-Statistik sind knapp sechs Wochen vergangen.
In der Zwischenzeit hat Bad Behavior dafür gesorgt, das Akismet verdammt wenig zu tun hatte. Während Akisment ohne Bad Behavior 75,5 Spamattacken pro Tag abwehren musste, waren es nu…
[…] hatte am 06.07. meine Spam-Plugins umgestellt: 1. Math-Plugin von SW Guide installiert (diese kleine Berechnungsfeld in dem Kommentarformular), um Kommentarspam abzuhalten. Kommt ohne Datebank-Zugriffe aus. Klappt bisher perfekt! Kein Kommentarspam mehr. Die Datenbank wird geschont. Wehrt natürlich nicht den Trackback-Spam ab. 2. Spam Karma komplett aus wegen zu viel Last 3. Akismet ebenso aus Lastgründen deaktiviert, wird aber zeitweise aktiviert, um den Trackback-Spam zu entfernen, der sich angesammelt hat. Zumal sich dort hin und wieder false positive TB Spam verfängt. Nach dem Löschen der Spameinträge wird Akismet wieder deaktiviert. 4. gegen Trackback-Spam habe ich den Trackback Validator eingebaut. Der läuft wie das Math-Plugin ganz ohne eigene DB-Tabellen. Blockt TB Spam so, dass es nicht in den Kommentaren angezeigt wird. Kleiner Nachteil: Da ich bei jedem neuen Kommentar bzw Trackback eine Mail bekomme, erhalte ich nach wie vor auch eine Mail, wenn TB Spam eingeht. Ist aber zu verschmerzen, da man das in einen Mailordner automatisiert via Mailregeln wegfiltern kann. […]
[…] Schnell mal unter Basic Thinking nachgeschaut. Robert berichtet seit dem Einsetzen der Spam-Flut über seine Fortschritte, dem Unwesen Herr zu werden und hat bei sich einiges im Hintergrund geändert. […]
[…] 1.) Math Comment Spam Protection: Nicht nur, dass das Plugin u.a. von den deutschsprachigen Top-Blogs Dr. Web und Basic Thinking eingesetzt wird, nun ist auch noch Google-Mitarbeiter und SEO-Spezialist Matt Cutts auf dieses Plugin umgestiegen: Changed my captcha. […]