OptimierungSicherheitWordpress

So verhindern Sie Spam-Kommentare in Wordpress

Einleitung

Sobald Sie eine Wordpress-Website mit Artikeln und eingeschalteter Kommentar-Funktion betreiben, werden Sie sich früher oder später mit Spam-Kommentaren auseinandersetzen müssen. Und zwar eher früher als später.

Ein kurzes Beispiel wirft vielleicht ein Licht auf das Problem. Ich habe auf einer meiner Beispiel-Websites bewusst für mehrere Wochen auf einen Spam-Schutz verzichtet. Diese Website wird nicht auf Google referenziert. Nach nur drei Wochen hatte ich bereits knapp über tausend Spam-Kommentare angesammelt. Das Problem ist also durchaus real.

In dieser Hinsicht rächt sich der Erfolg von Wordpress ein wenig, denn die Entwicklung automatisierter Spam-Programme lohnt sich natürlich vor allem für weitverbreitete Systeme. Und da Wordpress das mit weitem Abstand am weitesten verbreitete System ist (34 % aller Websites und 60 % aller Websites mit Content-Management-System weltweit werden mit Wordpress betrieben), war die Entwicklung solcher automatisierten Spammer wohl nur eine Frage der Zeit.

Dieser Artikel beschäftigt sich mit den verschiedenen Möglichkeiten, mit denen Sie gegen Spam-Kommentare vorgehen können. Und schildert Ihnen auch die Vor- und Nachteile der diversen Methoden.

Die zwei Arten von Kommentar-Spam

Grundsätzlich kann man zwei Arten von Spam-Kommentaren unterscheiden. Da gibt es zum einen die vollautomatisch erzeugten Spam-Kommentare. Sie sind im Allgemeinen in englischer Sprache verfasst und haben normalerweise keinerlei Bezug zum Thema des Artikels (die etwas weniger schwachsinnigen versuchen mit einigen Schlüsselwörtern aus dem Beitragstext etwas Relevanz vorzugaukeln). Allesamt enthalten Links, meistens auf Shops oder Pornoseiten, und werden in der Hoffnung auf Klicks auf diese Links verbreitet.

Daneben gibt es dann auch noch Menschen, die sich die Zeit damit vertreiben, solche Kommentare manuell auf Webseiten unterzubringen. Diese Kommentare sind normalerweise genauso schwachsinnig, aber etwas schwerer automatisiert zu enttarnen.

Methoden gegen Spam-Kommentare

Die Kommentarfunktionen in Wordpress

Einige Einstellungen in Wordpress selbst helfen zumindest einmal gegen die schlimmsten Folgen von Spam-Kommentaren. Sie erreichen diese Einstellung in der Verwaltungsoberfläche über „Einstellungen -> Diskussion“ und sie sehen ungefähr so aus:

Keine Kommentare zulassen

Falls Sie in Ihrem Blog überhaupt keine Kommentier-Funktionen für Ihre Besucher bereitstellen möchten oder müssen, können Sie dies durch das Abwählen des Punktes „Besuchern erlauben, neue Beiträge zu kommentieren“ erreichen.

Sie sollten allerdings wissen, dass diese Einstellung keine Auswirkung auf bereits bestehende Artikel hat. In diesen Artikeln müssen Sie die Kommentareinstellung manuell ändern.

Und auch mit dieser Einstellung können Sie für jeden einzelnen Artikel wählen, ob Sie die Kommentier-Funktionen für diesen Artikel erlauben möchten.

Durch die durchgehende Deaktivierung der kommentier-Funktionen sind Sie ganz automatsch auch das Problem mit Spam-Kommentaren los. Aber Sie entfernen natürlich auch eine recht nützliche Möglichkeit der Interaktion für Ihre tatsächlichen Benutzer.

Kommentare einschränken

Durch das Auswählen der Einstellungen „Benutzer müssen zum Kommentieren Name und E-Mail-Adresse angeben“ und „Benutzer müssen zum Kommentieren registriert und angemeldet sein“ können Sie vorgeben, dass Benutzer zum Kommentieren eines Beitrags zumindest ihren Namen und ihre E-Mail-Adresse angeben oder sogar über ein Benutzerkonto auf Ihrer Website verfügen müssen.

Beide Methoden sin nicht sonderlich hilfreich gegen Spam-Kommentare. Wenn Sie die zweite Option aktivieren und die Erstellung von Benutzerkonten zulassen, haben Sie neben den Spam-Kommentaren auch noch hunderte oder tausende fiktiver Benutzerkonten zu bewältigen.

Kommentare moderieren

Etwas bessere Möglichkeiten zur Kontrolle von Kommentaren eröffnen die Einstellungen etwas weiter unten.

Zum einen können Sie durch Ankreuzen der Felder „Mir eine E-Mail senden, wenn jemand einen Kommentar schreibt.“ und „Mir eine E-Mail senden, wenn ein Kommentar auf Freischaltung wartet.“ erreichen, dass Wordpress Sie benachrichtigt, wenn ein Kommentar geschrieben wird.

Und durch das Ankreuzen eines der Felder „Bevor ein Kommentar erscheint, muss der Kommentar manuell freigegeben werden.“ oder „Bevor ein Kommentar erscheint, muss der Autor bereits einen freigegebenen Kommentar geschrieben haben.“ können Sie dafür sorgen, dass ein Kommentar nicht ohne eine manuelle Freigabe von Ihnen in Ihrem Blog erscheint.

Das Feld darunter erlaubt die automatische Markierung eines Kommentars für die manuelle Freigabe, wenn dieser Kommentar mehr als eine vorgegebene Anzahl von Links enthält.

In den beiden Feldern darunter können Sie festlegen, dass ein Kommentar automatisch für die manuelle Freigabe oder gleich als Spam markiert wird, wenn er eines der in der Liste angegebenen Wörter enthält.

Tauglichkeit als Schutz gegen Spam-Kommentare

Bestenfalls fragwürdig. Die in Wordpress vorhandenen Einstellungen erlauben Ihnen zwar eine Kontrolle der Einträge und verhindern das Erscheinen von Spam in Ihrem Blog ohne Ihre ausdrückliche Freigabe. Aber das manuelle Durchsehen aller Kommentare und das Vollmüllen Ihrer Datenbank bleibt unverändert erhalten.

Aber diese Einstellung können bei Einsatz eines automatischen Filters zumindest dafür sorgen, dass Sie den eventuell verbleibenden „Restmüll“ dann manuell löschen können (dazu unten mehr).

Nutzung eines Anti-Spam-Plug-Ins

Es gibt einige Plug-Ins zur Bekämpfung von Spam-Kommentaren auf dem Markt. Ich möchte auf drei davon hier näher eingehen.

Zum einen wäre da das Plug-In „Akismet Anti-Spam“. Das ist das vermutlich bekannteste aller Plug-Ins gegen Spam, weil es bei einer Standard-Installation von Wordpress gleich mit dabei ist.

Und zum zweiten das Plug-In „Antispam Bee“, weil es in sehr vielen Blogs und Artikeln als in Bezug auf die Datenschutz-Grundverordnung (DSGVO) unbedenklich beschrieben wird.

Und zu guter Letzt möchte ich noch auf das ziemlich neue Plug-In „Honeypot for WP Comment“ eingehen, dass mir persönlich nach den ersten Eindrücken sehr gut gefällt.

Akismet Anti-Spam

Akismet ist das vermutlich effektivste Anti-Spam-Plug-In. Und Sie sollten es am besten sofort löschen. Und zwar weil die Funktionsweise das Plug-In sehr problematisch in Bezug auf den Datenschutz macht.

Akismet benutzt eine über Jahre hinweg aufgebaute Datenbank zur Analyse von Kommentaren und kennzeichnet Kommentare daraufhin als Spam oder eben nicht. Dummerweise müssen aber dazu zunächst einmal die Kommentare mit allen dazugehörigen Daten (IP-Adresse, Mail-Adresse, Name, Text) an die Server von Akismet übertragen werden. Und diese Server befinden sich in den USA.

Und das wiederum ist in mehr als einer Hinsicht bedenklich. Zum einen erlauben Sie einer Drittfirma die statistische Auswertung von Daten Ihrer Website (was ich nicht empfehlenswert finde). Und zum zweiten, und das ist deutlich schlimmer, lässt sich diese Datenübertragung kaum mit der europäischen Datenschutz-Grundverordnung (DSGVO) unter einen Hut bringen.

Anmerkung: Es gib jede Menge Anleitungen im Internet, wie man (angeblich) eine DSVGO-konforme Konfiguration von Akismet hinbekommt. Aber ich bin da etwas skeptisch, und das würde ich Ihnen auch empfehlen.

Meiner (rechtsunverbindlichen) Meinung nach ist der Einsatz von Akismet aus datenschutzrechtlicher Sicht mehr als bedenklich und eröffnet jede Menge Möglichkeiten für Abmahnungen von einem der darauf spezialisierten Vereine.

Antispam Bee

Das Plug-In „Antispam Bee“ von Sergej Müller wurde speziell für deutsches bzw. europäisches Recht konzipiert. Meiner (rechtsunverbindlichen) Meinung nach ist es datenschutzrechtlich unbedenklich einsetzbar, solange man auf zwei Funktionen verzichtet.

Die Option „Öffentliche Spamdatenbank berücksichtigen“ sorgt für eine Übertragung der Daten an einen Drittserver, damit ergibt sich die gleiche Problematik wie oben bei Akismet. Und die Option „Kommentare nur in einer Sprache zulassen“ überträgt zumindest Teile des Kommentars an die Google-Übersetzungsserver, was meiner Meinung nach datenschutzrechtlich ebenfalls nicht ganz unbedenklich ist.

Außerdem schleppt das Plug-In für meinen Geschmack etwas viel Ballast mit sich herum. Aber „Antispam Bee“ ist definitiv ein tolles Plug-In, das bedenkenlos eingesetzt werden kann.

Honeypot for WP Comment

Ein ziemlich neues Plug-In, dass mir persönlich nach den ersten Eindrücken sehr gut gefällt, ist „Honeypot for WP Comment“. Und zwar hauptsächlich deswegen, weil es sich auf eine einzige Funktion beschränkt und auf unnötigen Ballast verzichtet. Es benötigt deswegen keinerlei Einstellung, sondern muss einfach nur aktiviert werden.

Das Plug-In bindet, wie übrigens auch „Antispam Bee“, in die Kommentier-Funktion von Wordpress einen sogenannten „Honeypot“ ein (der Begriff stammt aus dem englischen und bezeichnet ein Scheinziel). Dazu wird im Kommentar-Formular von Wordpress ein zusätzliches Feld eingebunden, dass für einen menschlichen Benutzer unsichtbar ist. Für die Bots, die automatsche Kommentare erzeugen, erscheint es hingegen wie ein ganz normales Formularfeld und wird deswegen ausgefüllt.

Und das ermöglicht die Erkennung automatisch erstellter Kommentare. Weil nämlich bei diesen Kommentaren in dem eigentlich unsichtbaren Feld eine Eingabe gemach wurde. Was ebendiesen Kommentar ganz automatisch als Spam disqualifiziert.

Wohlgemerkt, das gilt ausschließlich für automatisiert erzeugte Kommentare, manuell erstellte Kommentare werden davon nicht erfasst. Aber da das den Großteil aller Kommentare ausmacht, ist es zumindest eine riesige Hilfe bei der Bekämpfung von Spam.

Momentan (September 2019) läuft „Honeypot for WP Comment” auf dieser Website und ich bin ziemlich begeistert von der Leistungsfähigkeit und der Performance des Plug-Ins. Ich werde diesen Artikel aktualisieren, falls im weiteren Verlauf Schwierigkeiten mit dem Plug-In auftreten sollten. Aber momentan wäre dies das Plug-In, dass ich am ehesten empfehlen würde.

Nutzung eines „Captcha“

Ein „Captcha“ ist eine weitere Möglichkeit zur Unterscheidung von automatisierten Routinen und echten Benutzern. Der Begriff „Captcha“ steht für „completely automated public Turing test to tell computers and humans apart“ oder auf Deutsch ungefähr „vollautomatischer öffentlicher Turing-Test zur Unterscheidung von Computern und Menschen“. Und das trifft’s ziemlich gut.

Der klassische Frage-Antwort-Test

Die ersten Captchas (an die Sie sich wahrscheinlich noch erinnern können) bestanden meistens entweder aus Bildern mit verzerrten Zeichen oder Zahlen, deren Inhalt dann in das Formular eingetragen werden musste, oder aus einfachen Rechenaufgaben, bei denen das Ergebnis eingegeben werden musste.

Diese Aufgaben werden von einem Zufallsgenerator generiert und ändern sich bei jedem Aufruf. Solche Aufgaben sind für die meisten Menschen sehr einfach zu lösen, stellen aber Computer vor echte Probleme (weil dazu Algorithmen zur Mustererkennung notwendig sind).

Aber diese ursprünglichen Captchas verursachen eine Menge Probleme. Zum einen werden Sie von den meisten Benutzern kaum akzeptiert, zum anderen sind sie im Allgemeinen nicht barrierefrei. Und entsprechen deswegen auch nicht den Richtlinien des W3C für gut zugängliche Webinhalte.

Deswegen werden solche Captchas heutzutage kaum noch benutzt und ich würde von einer Nutzung auch dringend abraten.

ReCaptcha von Google

Auf sehr vielen Websites wird heute ReCaptcha von Google genutzt. Während die erste Version noch mit Zahlen arbeitete (und übrigens mittlerweile von Algorithmen mit Trefferquoten von weit über 90 % richtig gelöst wird), arbeitet das seit 2014 verfügbare ReCaptcha v2 wie auch das aktuelle ReCaptcha v3 mit einem speziellen Algorithmus, der das Surfverhalten analysiert, die Unterscheidung zwischen Mensch und Maschine getroffen.

Google ReCaptcha v1
Google ReCaptcha v2

Das ReCaptcha v2 kennt mittlerweile wohl jeder Internet-Nutzer von unzähligen Formularen auf unzähligen Websites. Das aktuelle ReCaptcha v3 ist hingegen für den Benutzer nur noch durch einen kleinen Batch unten rechts auf der Seite oder durch einen Hinweistext im Formular erkennbar.

ReCaptcha von Google hat unbestreitbare Vorteile. Es ist kostenlos verfügbar, schützt sehr zuverlässig und die Akzeptanz durch die Benutzer ist sehr hoch. Und fast jeder kennt es, weil es auf Millionen von Websites läuft.

Aber mit ReCaptcha nehmen Sie ganz automatisch auch eine Menge Nachteile in Kauf, die Sie vor einer Entscheidung für oder gegen ReCaptcha zumindest kennen sollten.

  1. Google ReCaptcha verlangsamt Ihre Website signifikant. Und dabei spreche ich nicht von einigen wenigen Millisekunden, sondern von 350 bis 550 Millisekunden. Und es fügt bis zu 20 HTTP-Anfragen zu jeder einzelnen Seite auf Ihrer Website hinzu (Quelle: pagepipe.com). Das klingt jetzt gar nicht mal so schlimm. Aber nach einer vernünftigen Optimierung kann Sie das bis zu 35 % der hart erarbeiteten Performance kosten.
  2. Google gibt sich nicht damit zufrieden, dass ReCaptcha nur auf den Seiten mit Formularen läuft. Nach einer Empfehlung von Google sollte der Code von ReCaptcha auf jeder einzelnen Seite einer Website zu finden sein. Und damit werden die Daten von allen Ihren Webseiten an Google übertragen (was auch der Sinn der Sache ist).
  3. Aus Sicherheitsgründen macht das auch durchaus Sinn, weil die so gewonnenen Informationen auch für die Administratoren der jeweiligen Website zugänglich sind. Aber es gibt Google natürlich auch mehr Daten über das Nutzerverhalten an die Hand. Und Google klärt nicht darüber auf, was mit diesen Daten eigentlich genau passiert.

Wie bei vielen Produkten der großen Internetkonzerne ist also auch ReCaptcha eigentlich nicht wirklich kostenlos. Sie zahlen eben nur mit Ihren Daten, in diesem Fall mit den Daten Ihrer Benutzer.

Und bei knapp 4,5 Millionen Websites, die aktuell ReCaptcha nutzen (darunter über 22 % der 10.000 größten Websites der Welt), kommen da eine ganze Menge an Daten zusammen (Quelle: buildwith.com).

Nach meiner (rechtsunverbindlichen) Einschätzung könnte die Nutzung von ReCaptcha datenschutzrechtlich problematisch sein, da erstens die Einbindung auf allen Seiten erfolgen kann und das dies für den Benutzer nicht transparent sein muss. Und da zweitens Google nicht ausdrücklich klarstellt, welche Daten wo gespeichert werden. Auf jeden Fall muss die Einbindung von ReCaptcha in der Datenschutzerklärung erläutert werden.

Wohlgemerkt, das hier soll jetzt keine Empfehlung für oder gegen Google ReCaptcha sein. Ich möchte nur an dieser Stelle auf die möglichen Implikationen hinweisen. Die Entscheidung für oder gegen eine Einbindung liegt in Ihrem Ermessen, da Sie als Betreiber einer Website für die Inhalte dieser Website verantwortlich sind.

Fazit

Aufgrund möglicher Probleme datenschutzrechtlicher Art und der damit verbundenen Gefahr von Abmahnungen sowie der Einschränkungen im Bereich der Anwenderfreundlichkeit würde ich persönlich momentan eher auf Plug-Ins zur Einbindung von Captchas verzichten.

Die Anwendung eines Anti-Spam-Plug-Ins würde ich hingegen empfehlen. Nachdem „Akismet Anti-Spam“ aus meiner Sicht aufgrund datenschutzrechtlicher Bedenken nicht in Frage kommt, würde meine Empfehlung auf den Einsatz von „Honeypot for WP Comment“ hinauslaufen. Wobei diese Empfehlung sich ausschließlich auf den Ressourcenverbrauch bezieht, auch „Antispam Bee“ ist und bleibt sehr empfehlenswert.

Um dem verbleibenden „Restmüll“ entgegenzuwirken, würde ich daneben die manuelle Kontrolle aller Kommentare eingeschaltet lassen.

Bezüglich der DSVGO-Konformität finden Sie übrigens weitere Informationen in meinem Artikel „Wie erreiche ich eine DSVGO-Konformität“ und bezüglich der Daten-Sammelwut der großen Internet-Konzerne können Sie mehr in meinem Artikel „Was Facebook, Google & Co. so alles über Sie wissen“ erfahren.

Claus Nehring

Der Autor ist freiberuflichler Web-Entwickler mit Sitz in Luxemburg. Er entwickelt seit mehr als 25 Jahren Websites für seine Kunden und hat sich in den letzten 12 Jahen auf Websites auf Basis von Wordpress spezialisiert. Er publiziert ständig Artikel zu Themen rund ums Internet in verschiedenen Foren.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.


Durch das Abschicken des Kommentars werden die eingegebenen Daten in der Datenbank dieser Website gespeichert. Ausserdem speichern wir aus Sicherheitsgründen Ihre IP-Adresse für einen Zeitraum von 60 Tagen. Weitere Informationen zur Datenverarbeitung finden Sie in der Datenschutz-Erklärung.

Back to top button
Close