Über den Autor

Robert Basic

Robert Basic ist Namensgeber und Gründer von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er über 12.000 Artikel hier veröffentlicht.

8 Kommentare

  • Wenn ich mal etwas Eigenwerbung machen darf: In der letzten Version von Click-A-Captcha habe ich eine Stoppuhr eingebaut. Wird der Kommentar in weniger als 5 Sekunden (Zeit kann man einstellen) abgegeben, wird er sofort verworfen.

    Der Gedanke dahinter: Kein Mensch ist in der Lage von Hand einen Kommentar in weniger als 2-3 Sekunden abzugeben. Geschieht dies trotzdem so schnell, muss es sich um einen Bot handeln.
    Bis jetzt haben die Spammer eigentlich immer auf alle möglichen Anti-Spam-Maßnahmen reagiert. Waren es versteckte Inputfelder, haben sie einfach alle Felder ausgefüllt die vorhanden waren. Gibt es Captchas, setzen sie Screenreader ein. Usw.
    Zwingt man den Besucher eine gewisse Zeit auf der Seite zu verbringen (3-5 Sekunden reichen schon), lohnt es sich für die Spammer nicht sich dem anzupassen. Denn Spammer sind darauf angewiesen täglich mehrer tausend Spams abzusetzen. Würden sie bei jeden Spam auch nur 5 Sekunden warten, müssten sie bei 5.000 Spams täglich 25.000 Sekunden = 416 Minuten = ca. 7 Stunden mehr Zeit mitbringen.

    In Zusammenarbeit mit Simple Trackback Validation kommt bei mir kein Spam mehr durch.

    Falls Interesse besteht, kann ich das ganze mal als Plugin ohne Captcha umbauen.

  • @Ralf: Klingt interessant. Solltest du auf jeden Fall mal ein Plugin erstellen. Dann ist es auch egal ob ein Besucher Javascript an bzw. ausgeschaltet hat.

    @Robert: Bis dahin versuche doch einfach mal das Raven’s Antispam Plugin. Würde mich wirklich mal interessieren ob dann noch Spam bei dir reinkommt. Oder ist dir das zu viel Aufwand? 😉

    Seit es bei mir läuft ist kein einziger Spam Kommentar rein gekommen. Also ich kann es jeden nur empfehlen. Habe aber auch in diesem Zusammenhang mal meine wp-comments-post.php umbenannt. Angeblich steuern einige Bots diese ja direkt an.

  • Ja, das mit den Plugin werde ich heute mal angehen.

    Zum Thema wp-comments.php:
    Die einzige Datei auf die der Besucher zugreifen muss, ist die index.php. Von allen anderen hat er die Finger von zu lassen. Ergo bemühen wir einfach mal die .htaccess:
    <FilesMatch „^wp-„>
    deny from all
    allow from deine-domain.tld
    </FilesMatch>

    Jeder direkte Zugriff auf eine Datei die mit „wp-“ beginnt und nicht von der eigenen Domain erfolgt, resultiert in einem 403 (Zugriff verboten). Kann man dann natürlich beliebig auf andere Dateien ausweiten.

  • @Robert: Da du mich verlinkt hast ist ja auch sicher ein Ping/Trackback zu meiner Seite geschickt worden oder?

    Habe nämlich nix bekommen bzw. wurde der vermutlich von dem Plugin gelöscht. Die Theorie hat zu mindestens Frank (bueltge.de)

    Wenn sich das Bewahrheit fliegt das Plugin wieder raus. Ist zwar schade aber was solls.

Kommentieren