Beiträge

This is test-spam message, if you want stop spam on your site – just email me: stopspamme@mail.ru and your site will be immediately removed from spam-base.

Super. Ich blockiere da lieber die IP von 81.177.22.210 und sämtliche Domains, die sowieso schon im Kommentar auftauchten, mit Spam Karma für WordPress. Das ist mir weitaus lieber als dem Typen eine Mail zu schreiben – und es gibt mir eine kleine „Themenwahl“ fürs Blog! :)

Aus einer aktuellen E-Mail Diskussion möchte ich meine Einstellungen zu Spam Karma 2 hier veröffentlichen – es sind nicht die bei der Installtion des WordPress Plugins standardisierten Einstellungen.

  • Severity: Normal
  • User Level: Normal
  • Link Counter: Supastrong (mit 1 Link)
  • Stopwatch: Supastrong
  • Blacklist: Supastrong
  • JavaScript Payload: Supastrong
  • Encrypted Payload: Normal
  • Entities Detector: Supastrong
  • Trackback Referrer Check: Supastrong
  • Snowball Effect: Disabled
  • Ansonsten werden Domainnamen schon mit nur einigen von anderen Kommentatoren positiv bewerteten Kommentaren akzeptiert…
  • Post Age and Activity: Supastrong (15 days, 2 cmts)
  • RBL Check: Supastrong
  • Akismet Check: Supastrong
    Hier als extra Plugin und nicht das ursprüngliche Akismet WP Plugin.
  • Captcha Check: Disabled
  • Anubis: Enabled
  • Simple Digest: Disabled

Natürlich hängt die gesamte Konfiguration von der persönlichen Bestnote ab. Wer sich nur auf Akismet verlässt ist auch gut beraten, ebenfalls hilft auch Bad Behavior, jedoch ist für mich SK2 der ultimative Genuss um dem Spam der Spambots immer wieder Herr der Lage zu werden. Hat jemand andere Erfahrungen mit Spam Karma 2 gemacht?

Anscheinend gibt es beim Einsatz von WordPress laut von Dr. Dave eine Sicherheitslücke, sofern man es erlaubt, dass sich fremde User selbstständig innerhalb von WordPress registrieren. Deswegen gibt es hier den Lesebefehl für alle betroffenen Administratoren – und bitte weitersagen! Ob etwas wahres dran ist, kann ich jedenfalls zur Zeit nicht beurteilen.

Nachtrag: Ein wichtiges Randdetail ist mir im Moment aufgefallen: Dr. Dave setzt WordPress 1.5.3-beta1 für sein Blog ein. Kann es also sein, dass es sich um den Fehler von vor ein paar Wochen handelt, der mit WordPress 2.0.3 behoben wurde?

Nachtrag 2: Tja… ich glaube mittlerweile wirklich, dass es schon durch das Update auf WP 2.0.3 behoben wurde. Und ja ich war gestern zu müde um richtig zu lesen – natürlich ist SK2 davon nicht betroffen, sondern WordPress selbst. Los, treibt die Sau durch’s Dorf zum Verspeisen auf dem Marktplatz! ;)

Ich hatte ja schon ein paar Vermutungen in der Vergangenheit geäußert, dass ich auf so einigen Blogs aus irgendwelchen Gründen in der Moderationsschleife mit meinen Kommentaren lande. Oder sogar durch irgendwelche widrigen Umstände als Spam gewertet werde.

Hier ist ein Beispiel dafür vom CW Notizblog, wie ich in deren Spam Karma 2 auftauchte (siehe Bild).

Daraufhin habe ich mich prompt mit einer E-Mail an den lieben Dr. Dave gewendet, der ja auch das SK2 konzipiert hat. Die Commenter Granularity fiel mir ja bisher auch nicht so positiv auf – hier bei uns im Blog und in allen von mir betreuten Blogs ist der Wert von mir bisher immer deaktiviert worden.


Dear Dr. Dave,

in the past I noticed that some of my comments are getting blocked by wordpress sites which use either akismet or sk2 or a combination of both.

However, this is a screenshot from one wordpress source which has a small misconfiguration in its sk2 settings. I believe the IP address is caught from the server-network itself since I know that my IP is usually being sent correctly.

Furthermore, while thinking of my own server, I noticed that the originally positive effects of using commenter granularity rather enabled spammers to use my domain/url or the url of other regular (and legal) commenters to receive a higher (positive) karma. Whenever they’ve been including my own domain/url or the ones of legal (and real) commenters, they were granted a supreme bonus from the granularity plugin. In order to fight them, I turned it off and can only advise you to either rethink the idea of using the granularity for benefits or simply disable it from the start in the initial settings – and only leave the option to enable it for advanced users.

What do you think?

Best regards
Mike Schnoor

Ich bin gespannt, wann und vor allen Dingen wie er antworten wird.

Nachtrag: Hier ist seine Antwort!

As for IP, there sometimes are issues due to the way PHP works across servers (many, many different configurations, resulting in sometimes inaccurate IPs and unfortunately little way to work around this without also offering backdoors to spammers).

You are right that as it is, granularity could theoretically be exploited by spammers… much as nearly every other blacklisting system. There’s practically no way to prevent spammers from poisoning a blacklist or assuming the identity of somebody else… However, you need to take in account that all this spam is automated and very generic: spammers do not tailor their spams for one single site, as would be required in order to use your URL when spamming your blog… Furthermore, granularity gives different weights to each parameter (IP, URL, email, positive, negative…), depending on their reliability and importance. The latest beta (http://www.wp-plugins.net/sk2/sk23_beta.zip) has brought some improvements too. And you can now add any domain you do *not* want used by either blacklists or granularity checks as a „greylist“ entry. For example, adding your own domain there will ensure no spammer can benefit from it.

Overall, I have some plans for major improvements over the way granularity (and a few other plugins) work… but unfortunately SK2 is only a side-hobby and I can only devote limited time to it, so this is progressing slowly… At any rate, I recommend checking the SK2 newsfeed (automatically displayed in your SK2 admin page) every once in a while for update notices.

Naja, immerhin ist jetzt das Problem einerseits dem Autoren von SK2 bewußt, andererseits hat er leider auch keine echte Abhilfe für den Fall, dass man als regulärer Kommentator recht häufig „geahndet“ wird. Mal sehen, wie es sich weiter entwickelt…

Seit einigen Tagen ist das Spamaufkommen in unserem Blog ein wenig erhöht, und neben den üblichen Pillendrehern und Sonstwas-Verkäufern gibt es was ganz neues. Spam der Sorte „Häh?“. Man kann es nicht verstehen, es macht keinen Sinn für sowohl englisch- als auch deutschsprachige User. Doch ist immer damit eine eindeutige Drecksgeschichte über die URL verbunden.

Name: vbtrhcrt htrvurye
URL: (Halt irgendwas schmuddelmäßiges!)
Nachricht: aweqe.okuy,ki8we… fvytrv ytryfrt uyiunyy ijuy irgtu…

Was soll uns (oder euch Lesern) das hier sagen? Das schlimme daran ist ja, dass so einige davon auch mal über Nacht durchhuschen… und selbst Spam Karma 2 kann nix dagegen tun.

Angeregt durch die Diskussion im RA Blog wundere ich mich, was ihr alle so einsetzt.

  1. Das Urgestein – Bad Behavior
  2. Die Killerapplikation – Spam Karma 2
  3. Der Hausmeister – Akismet
  4. oder das Plugin vom Hausmeister für die Killerapplikation
  5. oder die individuelle Kombinationen der obigen Plugins?

Ich selbst habe den dritten Fall gewählt: Spam Karma 2 mit dem SK2 Akismet Plugin. Es erleichtert mir einfach die Arbeit, es ist nur ein Plugin (mit Sub-Plugin – wie auch immer) und so weniger Klicks zum administrativen Aufwand! ;) Wie schauts also bei euch aus, liebe Leser?

Taghell ist es in unserem Zimmer wenn das weiße Farbschema des Laptop-Displays die Dunkelheit erhellt. Spannende Aktionen tätigen wir, wenn wir alte Erinnerungsfotos aus den vergangenen Semenstern wehmütig anschauen und uns fragen, was die lieben Kommilitonen/innen zur Zeit im Ausland oder sonstwo treiben.

Dann flugs woanders hingesurft und folgendes problematisiert:

Torben: Das ist auch dein Lieblingsbutton – „Manage“?
Mike: Joaaa….

Soviel zum Thema Weblog Administrations Interface. Es ging vielmehr darum, in WordPress die aktuellen von Spam Karma gefangenen Kommentare zu überprüfen. Wie schön, dass uns auch solche Sachen erfreuen, wenn Katharina schon längst im Bett (mit Laptop?) liegt. Es lebe die Nacht und der reife Ungehorsam, wenn die Universität am nächsten Morgen lockt. Zum Glück habe ich ja schon Wochenende… :)

I have installed the Spam Karma 2.0 plugin instead of Bad Behavior now and am enjoying its amazing customizability. Bad Behavior sadly disallowed too many external webtools and it excluded some readers. This is not acceptable for me… especially since only one manual spammer ended up in my moderation queue in the last 24 hours with Bad Behavior being disabled! :(

Earlier today I’ve had a small telephone chat with Robert and one of our topics was the increasing problem on how to fight off spam at best. With the term spam we’ve tied it down to both Comment-, Pingback- and Trackbackspam. WordPress usually defends itself against this nasty bunch by given the administrators the option to moderate their comments, but once the spam increases, the numbers of to-be-moderated spam can reach a few hundreds and thousands of database entries.

However, people have created some plug-ins to counter these spammers:

  • Spam Karma 2.0
    This plug-in is meant to stop all forms of automated Blog spam effortlessly, while remaining as unobtrusive as possible to regular commenters.
  • Bad Behavior 1.2.2
    Spambots are prevented from accessing your site by analyzing their actual HTTP requests and comparing them to profiles from known spambots including user-agent and referer analyses.

So far I’ve experienced the most positive protection from Bad Behavior, but while working with some website optimization tools yesterday, I noticed they were being blocked off from my site. On top of this, Robert expressed on the phone and in a recent article that other people are often turned down from bad behavior due to natural problems with user-agents or their referers. Instead of pulling hard restrictions on a blog by disallowing any form of communication (comments and trackbacks), I’d prefer to keep the idea of a social network alive. To accomplish this, the elements of interactivity have to remain intact. How else can I ask a question in my blog and get answers and with them some useful solutions?

Now I turned the plug-in off to see how much spam will pass to my moderation queue, and on top of this I will install Spam Karma tomorrow and attempt to compare these plugins. Nevertheless, the never-ending problem with Spammers is simple: They know what your defenses are and they are working to undermine them.