WordPress Spam

Veröffentlicht von in Sicherheit, WordPress

WordPress Usern ist das Problem schon länger ein Dorn im Auge: WordPress Spam ist ein beständig wachsendes Übel.

WordPress Spam ist ein wirklich großes Problem, den insbesondere WordPress Seiten sind durch ihre gute Sichtbarkeit im Netz (Stichwort Suchmaschinenaffinität) ein gern gesehenes Ziel von Spambots. Durch die Kommentarfunktion ist WordPress zusätzlich verwundbar.

WordPress Spam

Ein Beispiel: Auf blog.art-supplies.de wird ein neuer Artikel veröffentlicht. Selbst wenn ich den Beitrag, was ansonsten selbstverständlich ist, nicht für Suchmaschinen optimiere, taucht der Artikel binnen binnen Tagesfrist in den ersten Spamlists auf.  Permanent erhalte ich ungewünschte “Kommentare“ zu allen möglichen obskuren Themen.

Spam: Was ist hier los? Was ist passiert?

Viele Websites sind nicht ausreichend gegen WordPress Spam gesichert. Der am häufigsten begangene Fehler besteht darin, dass die Funktion Kommentare automatisch zulassen nicht deaktiviert wurde. Diese Seiten werden dann rasch in zwielichtigen Foren (sogenannte Auto Approve Backlink Lists) gelistet.

Oft geht es dann ganz schnell: Mehrere hunderte Spamkommentare täglich sind keine Seltenheit. Dagegen gilt es sich abzusichern.

Wie geraten Sie da hinein?
Das geht ganz schnell: Ein Unternehmen benötigt für eine Website Backlinks. Diese kann man ganz einfach kaufen, z.B bei eBay. Das ist noch nicht einmal illegal. Und teuer ist es auch nicht.

Die vom jeweiligen Anbieter (ich habe hier beispielhaft einen ausgewählt) angewendete Software analysiert die in den Websites enthaltenen Keywords und versendet dann an die passenden Ergebnisse massenhaft Kommentare. Zum Beispiel an Ihre Website, die Sie so liebevoll für eben diese Keywords optimiert haben…

WordPress Spam

Wie kann ich mich gegen WordPress Spam schützen?

Wie oben bereits erwähnt: Ganz wichtig – lassen Sie in Ihrer WordPress Installation niemals automatische Kommentare zu. Dies öffnet WordPress Spam alle Türen und Tore. Beschäftigen Sie sich also mit den Einstellungsmöglichkeiten im Dashboard unter Einstellungen/Diskussionen.

Entscheiden Sie zunächst grundsätzlich, ob Sie Kommentare für Ihre Website generell zulassen möchten. Für viele Websites ist dies überhaupt nicht notwendig. Zumindest nicht auf allen Seiten der Website. Wenn Sie generell keine Kommentare zulassen wollen, deaktivieren Sie diese in Einstellungen Diskussion im ersten, oberen Abschnitt: Standardeinstellungen für Beiträge

  • Versuche jedes in Beiträgen verlinkte Weblog zu benachrichtigen (verlangsamt das Veröffentlichen)
  • Erlaube Link-Benachrichtigungen von anderen Weblogs (Pingbacks und Trackbacks)
  • Erlaube Besuchern, neue Beiträge zu kommentieren

Diese Einstellungen können für jeden Beitrag individuell geändert werden. Das bedeutet, dass Sie auf gewissen Seiten die Kommentarfunktion gezielt freigeben können. Am besten nehmen Sie diese Einstellung vor, bevor Sie anfangen Artikel zu veröffentlichen. Dies sind meine Standardeinstellungen, wenn ich generell KEINE Kommentare auf meiner WordPress Website wünsche.

WordPress Spam Einstellungen Diskussionen
Wichtig: Wenn Sie bereits Artikel veröffentlicht haben, gelten diese Einstellungen NICHT rückwirkend. Sie müssen dann auf jedem einzelnen Beitrag die Kommentarfunktion abschalten.

WordPress Spam Kommentareinstellungen für Artikel
Sie können in Ihrer WordPress Installation diese Einstellung auf einer Artikelseite im Backend nicht finden?
Dann ist diese Option nicht eingeschaltet. Scrollen Sie im WordPress Backend bis ganz nach oben. Sie finden auf der rechten Seite eine Schaltfläche mit der Aufschrift Optionen. Klicken Sie auf die Schaltfläche. Aktivieren Sie die Option Diskussion.

WordPress Spam Optionen

 

WordPress Spam

WordPress Spam Plugin Askimet – Verwendung aus Datenschutzgründen bedenklich

WordPress Spam DatenschutzOK – der ersten Schritt ist getan, Sie haben einen ersten wichtigen Schritt zur Abwehr von WordPress Spam unternommen. WordPress kommt mit einem weiteren Gegenmittel Out of the Box bereits bei der Installation daher.

Das Plugin Askimet bietet Schutz gegen WordPress Spam und ist standardmäßig in einer WordPress Installation enthalten. Zunächst müssen Sie es im Dashboard unter Plugins aktivieren. Zudem müssen Sie sich bei wordpress.com registrieren und einen dort erhältlichen API-Schlüssel in den Optionen des Plugin eintragen. Askimet ist für Privatleute kostenlos.

Gegen die eigentliche Funktionalität des Plugins ist grundsätzlich nichts einzuwenden, es verteidigt Ihre Website sehr erfolgreich gegen WordPress Spam. Trotzdem ist Askimet für einen Einsatz zumindest in Deutschland, Österreich und der Schweiz nicht geeignet. WordPress Deutschland zieht zur Zeit in Erwägung Askimet wegen Probleme hinsichtlich des Datenschutzes aus dem Download der deutschsprachigen WordPress Version zu entfernen.

Wikipedia: Akismet untersucht einen Kommentar nach möglichem Spam. Um dies zu bewerkstelligen muss dieser Spamschutz einige Daten zu einem Server in die USA übermitteln. Etwas Derartiges darf nur dann durchgeführt werden, wenn auf dieses Vorgehen in der Datenschutzerklärung explizit hingewiesen wird. Sollte diese fehlen, so muss das Plugin deaktiviert werden. Dieses Problem wurde inzwischen von heise Online bestätigt.

Nachdem dieses Problem dem Team von WordPress Deutschland seit zwei Jahren bekannt war, wird bei WordPress Deutschland seit dem 1. März 2011 eine Grundsatzdiskussion geführt. Seit Version 3.1.1. wird WordPress mit einer angepassten Sprachdatei ausgeliefert, welche beim Aktivieren von Akismet bei einer WordPress Neuinstallation eine Warnmeldung ausgibt.
>> Zum Wikipediaartikel WordPress Spam  

Wie sichere ich meine WordPress Installation gegen WordPress Spam?

Ich verwende zum Schutz gegen WordPress Spam meiner mit WordPress erstellten Seiten AntispamBee von Sergej Müller. Das schlanke, aber äußerst wirkungsvolle deutschsprachige Plugin ist zuverlässig und rechtskonform.

Das Antispam-Plugin verfügt unter anderem über Filter für die Kommentar-Sperrung auf regionaler und/oder sprachlicher Ebene und bietet Schutz gegen WordPress Spam bei Track- und Pingbacks. Das Plugin ist deutschsprachig.

Die Einstellungsmöglichkeiten sind selbsterklärend. Meine Standardkonfiguration:

wordpress-spam-antispambee

>> Das Plugin AntispamBee können Sie hier herunterladen <<.

Mein Fazit:

Nutzen Sie das deutschsprachige und rechtskonforme WordPress Spam Plugin AntispamBee. Es überzeugt mich durch seine hohe Wirksamkeit (ich verwende es erfolgreich für meine eigenen sowie für meine Kundenwebsites) und den klaren, einfachen Einstellungsmöglichkeiten.

Update Juni 2016:
2015 ist das Plugin um eine  wesentliche Funktion ärmer geworden, mittlerweile steht es aber wieder mit vollem Leistungsumfang zur Verfügung.
Im Mai 2015 ist das Plugin bedauerlicherweise um eine wesentliche Funktion ärmer geworden: Kommentare in nur einer Sprache zu zulassen – nicht mehr möglich). Um diese Option/Funktion ausführen zu können, wurde bis dato die inoffizielleSchnittstelle von Google Translation (Browser) API genutzt – die Schnittstelle war kostenlos und uneingeschränkt nutzbar. Bis vor wenigen Tagen. 

Google hat die Nutzung dieser inoffziellen Schnittstelle nun insofern eingeschränkt, dass sie für automatische Skripte (was ein Plugin ja ist) nicht länger zur Verfügung steht. Um Google Translate API jetzt nutzen zu können, muss die kostenpflichtige Variante https://cloud.google.com/translate/v2/pricing implementiert werden. Früher oder später musste dieser Zeitpunkt ja kommen 😉

Von der Verwendung von Askimet ist nach wie vor eindeutig abzuraten, um nicht gegen die entsprechenden Datenschutzgesetze zu verstossen. Belassen Sie es auch NICHT deaktiviert in Ihrem Plugin-Ordner. Inaktive Plugins sind ein von Hackern gern genutztes Ziel, um >> Backdoors zu etablieren.

Askimet ist mit Sicherheit eines der am weitesten verbreiteten WordPress Plugins. Es ist davon auszugehen, dass es gerade deswegen ein beliebtes Ziel für Schadcode darstellt. Inaktive Plugins sind eine tickende Bombe für WordPress Hacks.

>> Mehr zu dem Thema erfahren Sie hier.

WordPress Spam

Spam = Dosenfleisch
Wieso heisst das eigentlich so?

SpamWikipedia:
SPAM war ursprünglich ein Markenname für Dosenfleisch, der bereits 1936 entstanden ist aus SPiced hAM, fälschlicherweise auch Spiced Pork And Meat/hAM oder Specially Prepared Assorted Meat genannt.

Während der Rationierung im Krieg war Spam eines der wenigen Nahrungsmittel, die in Großbritannien praktisch überall und unbeschränkt erhältlich waren. Die Omnipräsenz dieses Fleisches, ähnlich wie später die unerwünschten Botschaften (zum Beispiel als E-Mails), förderte die Entwicklung des Begriffs.

Als Synonym für eine unnötig häufige Verwendung und Wiederholung wurde der Begriff durch den Spam-Sketch der englischen Comedyserie Monty Python’s Flying Circus geprägt: In einem Café besteht die Speisekarte fast ausschließlich aus Gerichten mit Spam.

Jede Erwähnung des Wortes führt erschwerend dazu, dass eine Gruppe Wikinger lauthals ein Lied anstimmt, dessen Text auch nur aus dem Wort Spam besteht und so jede normale Kommunikation unmöglich macht.

Monty Python – Spam

Die Nutzung des Begriffs Spam im Zusammenhang mit Kommunikation hat ihren Ursprung wahrscheinlich in den Multi User Dungeons (Bei einem Multi User Dungeon – Abkürzung: MUD, selten auch Multi User Dimension oder Multi User Dialog – handelt es sich um ein Rollenspiel, das auf einem zentralen Server läuft, auf dem sich mehrere Spieler (Mudder oder MudHead) gleichzeitig einloggen können).

Dort bezeichnete Spam zunächst nicht Werbung, sondern das von manchen Nutzern praktizierte massenhafte Überschwemmen des Text-Interfaces mit eigenen Botschaften. In den Zusammenhang mit Werbung wurde das Phänomen Spam zum ersten Mal im Usenet (In den achtziger Jahren wurde das Unix User Network, kurz Usenet, populär – ein Sammelsurium an unterschiedlichen Newsgroups, in denen verschiedenste Themen diskutiert wurden.) gebracht.

Dort bezeichnet man damit mehrfach wiederholte Artikel in den Newsgroups, die substanziell gleich sind oder für dieselbe Dienstleistung werben. Die erste Spam-E-Mail wurde wohl am 3. Mai 1978 mit einem Werbeinhalt der Firma DEC versendet, allerdings erst im Jahr 1993 als solche bezeichnet.

>> Zum Wikipediaartikel WordPress Spam

Mehr zum Thema WordPress Sicherheit

>> Abonnieren Sie den art supplies Newsletter

Weitere Artikel