Trackbacks holen den Spam ins Blog

Also lang hantiere ich ja noch nicht mit Blogs, eins aber weiss ich jetzt schon ganz gewiss.

Postet man einen Artikel mit einem Trackback zu einem anderen Blog, so kann man sich sicher sein, ab ein paar Stunden später, Comment-Spam bis zum abwinken zu bekommen.

Kaum hab ich de post zum Overlay Counter online, da fing es auch in diesem frischen Blog hier schon wieder an.

In den letzten 2 Tagen hab ich auch diesen Post bereits über 200 SPAM-Comments.
Sehr ärgerlich und lästig.

Nun dachte ich mir, dann muss jetzt ein SPAM-Filter her.

Also hab ich mir dieses Spam Karma 2 Version2.2 r3 installiert.

Jetzt sollte dann ja Schluss mit SPAM sein!
Oder?
Denkst ‚de! Der SPAM wirdgarnicht erst als Spam erkannt und wird einfach freigegeben.
Jetzt hab ich die Filter schon recht stark gesetzt und hoffe, das es weniger wird.
Wobei es das auch nicht sein kann, denn schliesslich setze ich auch meine echten Comments dem Risiko aus, als Spam deklariert zu werden.

Wieso ist dieses Spaming aber eigentlich nur bei Blogs bzw, WordPress so ein krasses Problem?
Nicht eine meiner Websites, die ich in den letzten Jahren mit Kommentarfunktionen, Gästebüchern etc.entwickelt habe, haben je ein Spam Comment gesehen.
Gut ein Gästbuch hatte mal kurzzeitig ein Problem mit Spamern.
Da hab ich kurzer Hand eine Session in einer Vorhergehenden Seite eingebaut und schon war es vorbei mit Spam.
Denn die SPAM-Script schauen sich in der Regel nicht die Site vor komplett an, sondern "attakieren" direkt die Zielseite mit dem Formular.
Wenn ich also in einem Gästebuch 2 Files z.B. habe: show.php und add_new.php
Die 1. Seite zeigt die Eintäge an und auf der 2. kann ich einen Beitrag schreiben.
Die Spam-Script attakieren dabei direkt nur die add_new.php.

Zwinge ich einen User/Besucher sich erst die Einträge anzuschauen, bevor er posten darf, in dem ich immer zuerst show.php aufrufe und per Link auf add_new.php verlinke, ist das für einen User kein Problem, für ein Script schon.
In der show.php setze ich nun eine Session-Variable die ich in add_new.php prüfe.
Die Variable ist in add_new.php also nur vorhanden, wenn man vorher auf der show.php war.

Ein Script wird kaum diesen Weg gehen – ein User schon!

Langer Rede, kurzer Sinn: Wieso exisiteren keine wirksamen Spam-Blocker für WordPress.
Gut ich hab noch nicht alle ausprobiert, wenn es aber laut Recherche heisst, das SpamKarma wohl das beste sein soll, hoch kompliziert aufgebaut ist, und aber garnicht wirksam schützt, wie sollen das dann andere besser können…

Sollte ich flasche EInstellungen verwenden oder es doch viel simplere aber wirkungsvolle Spam-Filter PlugIns geben, so schreibt mir pls…

10 Kommentare

Deinen hinzufügen?

SteBu sagt:

12 Juni '06 um 20:11 Uhr

>Nicht ein meiner Websites, die ich in den letzten Jahren mit Kommentarfunktionen, Gästebüchern etc.entwickelt habe, haben je ein Spam Comment gesehen.

Glück gehabt 😉 .

>Denn die SPAM-Script schauen sich in der Regel nicht die Site vor komplett an

Falsch. Ein von mir ausgedachte Lösung im Jahr 2004 wurde kaum bekannt gemacht(und selbst wenn, der Value war ja frei wählbar) und hatte kaum 4 Wochen bestand. Die Seiten werden sehr wohl komplett gescannt.

Deine Variante mit der Preview ist noch immer die, die das beste Verhältnis aus Usability und Schutz bildet.
Und das es WP so massiv trifft, dürfte wohl an seiner Verbreitung liegen.

>(…)simplere aber wirkungsvolle Spam-Filter

WP-Hash-Cash und Nachfolger sind gut. Haben aber den Nachteil, das User ohne JS nicht kommentieren können. Doch da könnte man ja eine Captcha-Alternative in den noscript-Bereich packen.

Ich selber nutze s9y und habe ohne Spamkarma und Co. nur mit TB-Spam zu tun, der aber, auf Grund von Regeln(alte Einträge (>5d), werden bei autom. Nachrichten nur moderiert mit mit Comments versorgt) nich öffentlich wird.

Antworten
LJay sagt:

12 Juni '06 um 22:27 Uhr

>> Denn die SPAM-Script schauen sich in der Regel nicht die Site vor komplett an…

>Falsch

Nicht ganz! Mit \“anschauen\“ mein ich etwas anderes.
Ein Formular schauen sie sich ggf. an und analysieren es.
Gesetz den Fall ich hab aber auf einer vorhergehenden Seite eine Session-Var gesetzt, wissen die Spider/Bot/Scripte dies nicht, denn die \“attakieren\“ direkt die Ziel Seite des Formulars an die die Daten geschickt werden. (Also das File, welches im From als \“action\“ (target) definiert ist.

Die Scripts gehen dabei nicht den Weg, den ein User gehen muss, bis er ein Kommentar schreibt.
Der User muss erst auf Seite A einen Link klicken um das Formular auf Seite B zu sehen, welches die Daten an Seite C schickt.
Scripts attakieren direkt Seite C und haben daher nicht die Session aus Seite A!
Bisher hat sich dies jedenfalls sehr bewehrt.
Auf http://www.drecksmuchte.de z.B. hatte ich arge Probleme im Gästebuch mit SPAM, bis… bis ich die benannte Vorgehensweise dort implementiert habe.

Antworten
SteBu sagt:

13 Juni '06 um 16:42 Uhr

Das die Scripts direkt auf das verarbeitende File schießen ist klar. Aber auf A die SESSION zu generieren kann ein Fehler sein. Wenn ich einen Link von meinem Blog auf diesen Eintrag hier setze(also auf B) hat der User A nie gesehen und das gibt einen False-Positive, weil er fürn Bot gehalten wird.

Trotze allem denke ich noch, das die Scipte die Seiten (auch) parsen. Denn meine Lösung aus 2004 arbeitet mit zufälligen Values(8-12 stellig) die in einem hiddenfeld gesetzt und so nat. ausgelesen wurden.

Meine nächste Lösung entsprach in etwa dem von WP-Hash_Cash, nur das sie selber entwickelt war und damit durchhielt.
Auf den Event onSubmit wurde erst beim absenden ein Input-Feld in das Forumlar geschrieben, Feld und Value mussten C vorhanden sein wenn die PostData auf C ankamen. Das klappte bis zum Schluß, erfoderte aber JS auf Userseite.

Antworten
LJay sagt:

13 Juni '06 um 17:44 Uhr

hmmm… ja bei der Art aufgebauten Seiten, wo man auch als User direkt auf die Eingabeseite kommen kann, ist dies in der Tat schwieriger, daher habe ich bisher noch keine solche Gästebücher etc. erstellt, sondern immer mit der anderen Varianten.

Antworten
LJay sagt:

13 Juni '06 um 17:51 Uhr

Wie ist das, faken die Bots mittler Weile auch Useragents, geben sich also z.B. Mozialla aus?! Denke mal schon oder, sonst wäre es ja zu leicht die Bots auszuschliessen.

Antworten
SteBu sagt:

14 Juni '06 um 05:30 Uhr

>(..)faken die Bots mittler Weile auch Useragents

Jupp, der IE ist sehr beliebt. Aber, selbst wenn sie keinen UA mitbringen, darf man nicht davon ausgehen, das es alles Bots sind. SW wie die Norton Internet Security übermitteln keinen UA-String.

Antworten
LJay sagt:

14 Juni '06 um 09:31 Uhr

hmmm, dachte ich mir fast.

PS: Beim SpamKarma muss ich nun feststellen, es filtert zuverlässig allen Spam raus.
ABER, es filtert z.B. auch deine Comments erstmal raus mit Karma um die 5-8.
Was ich vermisse, ist das man beim SpamKarma direkt den Beitrag nicht freigeben kann, dazu muss ich wieder in die WP Moderation wechseln… naja, solange der positive den negativen Effekt überwiegt, bin ich zufrieden. 😉

Antworten
SteBu sagt:

14 Juni '06 um 16:57 Uhr

Ein Karma von 5-8! Spinnt das Teil. Auf was reagiert es so. Ist kein URL im Text und dann sogar noch ein Zitat. Na ja, soll es halt.
Ich lass mal jetzt den URL zu meinem Blog raus, mal sehen.

Antworten
LJay sagt:

14 Juni '06 um 17:33 Uhr

Nachdem ich nachträglich nochmal alle Filter rübergeschickt habe, kam dies heraus:
2: Comment contains no URL at all. 7: Akismet says it\'s ok 2: Comment contains no URL at all. 3: Eintrag vor 3 Tage, 1 Stunde gepostet. 7 Kommentare in den vergangenen 15 Tagen. Aktuelles Karma: 11. 7: Akismet says it\'s ok -6: Kommentar wurde manuell wiederhergestellt.

Hab nun leider nicht mehr die Stats vor meinem manuellen Eingreifen.
Das nächste Mal aber.

Antworten
Mathias sagt:

19 Juni '06 um 19:54 Uhr

Eine zusätzliche Variante zur Vorschau ist die Überprüfung über die $_POST Variable, welcher Button gedrückt wurde. Wenn der Wert des Buttons stimmt, gehts mal weiter; wenn nicht, wird hier schon abgebrochen und die DB nicht belastet.

Ich hoffe, wenn ich hier meinen Artikel dazu verlinke, dass mein Kommentar nicht gleich als Spam erkannt wird 😉 Also:

Artikel

Antworten

Schreibe einen Kommentar Antworten abbrechen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.