Beiträge

Aus einer aktuellen E-Mail Diskussion möchte ich meine Einstellungen zu Spam Karma 2 hier veröffentlichen – es sind nicht die bei der Installtion des WordPress Plugins standardisierten Einstellungen.

  • Severity: Normal
  • User Level: Normal
  • Link Counter: Supastrong (mit 1 Link)
  • Stopwatch: Supastrong
  • Blacklist: Supastrong
  • JavaScript Payload: Supastrong
  • Encrypted Payload: Normal
  • Entities Detector: Supastrong
  • Trackback Referrer Check: Supastrong
  • Snowball Effect: Disabled
  • Ansonsten werden Domainnamen schon mit nur einigen von anderen Kommentatoren positiv bewerteten Kommentaren akzeptiert…
  • Post Age and Activity: Supastrong (15 days, 2 cmts)
  • RBL Check: Supastrong
  • Akismet Check: Supastrong
    Hier als extra Plugin und nicht das ursprüngliche Akismet WP Plugin.
  • Captcha Check: Disabled
  • Anubis: Enabled
  • Simple Digest: Disabled

Natürlich hängt die gesamte Konfiguration von der persönlichen Bestnote ab. Wer sich nur auf Akismet verlässt ist auch gut beraten, ebenfalls hilft auch Bad Behavior, jedoch ist für mich SK2 der ultimative Genuss um dem Spam der Spambots immer wieder Herr der Lage zu werden. Hat jemand andere Erfahrungen mit Spam Karma 2 gemacht?

Seit 10:45 Uhr wird hier nicht mehr zurückgeschossen. Die generelle Sicherheitsmaßnahme am Server, einige Spammer oder sonstige Liebhaber der dunklen Künste auszusperren, sind derzeit deaktiviert. Das ist gut so. Ich möchte sehen, in wieweit wir mit unserem Ranking bei www.blogcounter.de www.blogscout.de nach oben katapultiert werden, wenn ich die bösen Buben nicht mehr aussperre. Falls also der eine oder blödsinnige Kommentar für phentermine, ejaculation oder vielleicht sogar Unterwäsche wirbt, ist dies durchaus beabsichtigt. Doch glaube ich kaum, dass die Teile durch SpamKarma und Akismet durchkommen werden… es geht nur hauptsächlich um den Referer-Spam, der höchstwahrscheinlich bei so einigen Blogs der TopListe auch für einen hohen Counter-Umsatz sorgt.

Vorgestern schrieb ich ja noch darüber, wie ich zumindest das WordPress Blog gegen eingehende Spamkommentare zu schützen weiß. Den Gedanken habe ich mit Stefan über Skype ein wenig weiter gezogen. Wir stellten fest, dass es zumindest den registrierten Usern, welche ja quasi als Stammleser fungieren, ermöglicht sein sollte, weiterhin ihren üblichen Senf zu hinterlassen. In dem comments.php Template (irgendwo in wp-content/themes/templateverzeichnis) gibt es eine Zeile, die regelt, wer kommentieren darf.

<?php if ('open' == $post->comment_status) : ?>

Das wird nun geändert auf folgendes:

<?php if ( ('open' == $post->comment_status) OR ( ('registered_only' == $post->comment_status) AND ($user_ID) ) ) : ?>

So sind die offenen normalen Artikel freigeschaltet, und es wird generell die Möglichkeit geboten, dass die Stammleser kommentieren können. Dies setzt vorraus, dass folgender SQL Query in der Datenbank ausgeführt wird:

UPDATE wp_posts SET comment_status = „registered_only“, ping_status = „closed“ where ID < 1000 AND post_status = "publish"

Tschüss Spam. Im Übrigen habe ich seit Dienstag keinen einzigen Spameintrag mehr erhalten – bis auf wiederum zwei false positives… aber naja, nobody ist perfect. Ich habe Spam Karma 2 erstmal von „Total Beatch“ auf „Normal“ umgesattelt. Nun werden wir also sehen, ob auch wirklich Spam durchkommt oder nicht. Zumindest wird erstmal vorgegaukelt, dass nichts funktioniert. Ob die interne WordPress-Funktion das auch schluckt, schaue ich mir mal gleich an.

Was hilft am besten gegen Kommentar- oder Trackback-Spam? Etwa ein Plugin wie Akismet oder Spam Karma 2 zur Filterung der neuen Versuche, eine Kommunikation jenseits des guten Willens aufzubauen? Oder etwa ein Captcha-Check, bei dem der User einen lustigen Buchstabensalat auseinander friemeln muss? Vielleicht gibt es ja auch den Zeitgenossen unter uns Blog Autoren, der generell nur registrierte Benutzer innerhalb der Blogsoftware auch zum Kommentieren zulässt? Oder werden Trackbacks bei einigen Blogs per se unterbunden?

Ich glaube, das einfachste und meiner Meinung nach schönste Mittel zumindest für WordPress Blogs ist ein manuelles Update der Datenbank. Einfach mal den SQL-Query

UPDATE wp_posts SET comment_status = „closed“, ping_status = „closed“ where ID < 1000

eingeben, und schon hat man von mehreren duzend Spameinträgen pro Tag endlich ruhe. Anzumerken ist, dass die ID mit dem Wert unter 1000 natürlich nur als Beispiel für diejenige ID entspricht, ab der man alle alten Einträge aushebeln möchte. Und wer interessiert sich denn nun ernsthaft für das Gewäsch von vor drei Monaten, bei dem die Kommentare sowieso jedes Feuer ausgelutscht haben? ;)

Nachtrag
Viel schöner ist vielleicht auch die Variante, dass man den comment_status auf den Wert „registered_only“ setzt. So erlaubt man das kommentieren letztendlich den Stammlesern, wie Stefan es bei seinen Gedanken zu diesem Thema gewünscht hatte.

Seit einigen Tagen ist das Spamaufkommen in unserem Blog ein wenig erhöht, und neben den üblichen Pillendrehern und Sonstwas-Verkäufern gibt es was ganz neues. Spam der Sorte „Häh?“. Man kann es nicht verstehen, es macht keinen Sinn für sowohl englisch- als auch deutschsprachige User. Doch ist immer damit eine eindeutige Drecksgeschichte über die URL verbunden.

Name: vbtrhcrt htrvurye
URL: (Halt irgendwas schmuddelmäßiges!)
Nachricht: aweqe.okuy,ki8we… fvytrv ytryfrt uyiunyy ijuy irgtu…

Was soll uns (oder euch Lesern) das hier sagen? Das schlimme daran ist ja, dass so einige davon auch mal über Nacht durchhuschen… und selbst Spam Karma 2 kann nix dagegen tun.

Dank dem Hinweis von Stefan bin ich auf eine Erweiterung für Spam Karma 2 gestoßen: Das Plugin „Spam Karma 2 Akismet Plugin“ wird einfach in das SK2 Plugin Verzeichnis kopiert und übernimmt die kompletten Arbeiten vom üblichen Akismet Plugin für WordPress. Das ist sehr praktisch und hilfreich und scheint auch ein wenig den Server zu schonen. Ich wußte gar nicht, dass soetwas für SK2 im Einsatz ist. Daher also wie immer – Fight the Spam!

Soeben stieß ich auf einen Eintrag bei Jörg: Kommentieren im Weblog nach Anmeldung. Im Prinzip dreht es sich um diejenigen Blog Autoren, die die Diskussion in ihren Blogs nur für angemeldete User freigeben.

Wir haben uns mittlerweile dafür entschieden, eine „Doppellösung“ zum Diskutieren bei uns anzubieten. Wie bisher kann man ohne weitere Registrierung bei uns kommentieren, jedoch setzen wir hier unter WordPress das Plugin Spam Karma 2 ein. Dabei kann es auch echten Usern passieren, dass sie geblockt werden (bei z.B. bei Verwendung von blogspot.com URLs).

Meistens erhalten sie in einem von SK2 erwählten Spielraum eine Möglichkeit, sich per Captcha-Check zu verifizieren. Sollte dies nicht möglich sein, wird der Kommentar in der SK2-Moderationsqueue dargestellt.

Um dem Treiben vorzubeugen bieten wir es ebenfalls an, dass sich „echte Menschen“ auch bei uns als WordPress-User (nahezu ohne Rechte) registrieren dürfen. Eine „Handvoll“ unserer Stammleser tut dies bereits, und so sind auch Captcha-Probleme oder Moderationsqueues kein Problem mehr.

Daher denke ich, dass die nur Kombination von guten Spam-Abwehrmaßnahmen und einer optionalen Registrierung mit daraus resultierenden Boni bzw. Privilegien die richtige Variante ist, um die Diskussionsgrundlage im Blog zu schaffen.

Seitdem ich auf den neuen Server bei HostEurope umgezogen bin, ist zwar alles schneller und auch die erhöhten Zugriffe wegen der nervigen Tammy-Sache machen mir auch keine großen Sorgen mehr… dennoch stellt sich eines heraus: Massive Spamangriffe mittels der Trackback-Schnittstelle kommen mit Splogs auf Blogspot.com daher!

Geht es nur mir so, oder versuchen die Damen und Herren von und zu Spam sich dadurch an SpamKarma2 vorbeizumogeln, in dem sie nachschauen, ob schon gewisse Kommentare von „echten“ Blogspot-Usern im Blog sind? So kann der sogenannte Granularity Check von SK2 dazu führen? Hier einmal ein Beispiel:

  • -19.36: 3 blacklist matches. (834 = blogspot.com [x3])
  • 38.8: Commenter granularity (based on URL): 58 old comment(s) (karma avg: 8.030000), 1 recent comment(s) (karma avg: -62.450000).

Die anderen 58 alten Kommentare waren schon vor etlichen Wochen von validen Usern im Blog. Meine Lösung, damit die Spam Kommentare nicht wegen allzu hoher positiver Karma-Bewertung validiert werden, ist folgende:

In SpamKarma2 habe ich die Severity auf Total Beeatch gesetzt, und den Alarm des Link Counter schon bei mehr als einer Link in den Kommentaren anspringen lassen. So sieht das ganze dann aus:

  • -3.99: Comment contains: 0 linked URLs and 2 unlinked URLs: total link coef: 1 >= threshold (1). Non-URL text size: 104 chars.
  • -63.36: 4 blacklist matches. (843 = 202.88.129.254 [x1], 834 = blogspot.com [x3])
  • -2: Severity settings adjustment.

Dadurch sind anscheinend die blöden Blogspot.com Spams in der Moderationsqueue bzw. der Recent Spam Harvest Liste gebannt und nicht veröffentlicht. Vorerst! Mal sehen, was so alles passieren wird…