Dampfmaschine

Jeder Blogger wird, sobald sein Blog etwas bekannter wird, Besuch von Spambots erhalten, die jede Menge Kommentare mit Werbung und Links zu zweifelhaften Seiten erhalten und absolut nichts mit den Themen der jeweiligen Artikel zu tun haben. Dass man das nicht nur seinen Besuchern bzw. Lesern ersparen, sondern auch das zufüllen der eigenen Datenbak mit solchem Spam vermeiden möchte ist eigentlich selbstverständlich.

Im Rahmen der von toscho losgetretenen Inititative möchte ich hier auch kurz über meine Bemühungen gegen den Spam und die von mir momentan eingesetzte Lösung schreiben.

Zu Beginn hatte ich an sich garkeine besonderen Antispam-Systeme im Einsatz ich habe einfach sämtliche Kommentare im Blog moderiert (was ich zur rechtlichen Absicherung auch heute noch tue) und dabei dann den Spam aussortiert. Diese Lösung hat natürlich einen gewaltigen Haken: Sie skaliert nicht. Spätestens nachdem ich nach nur ein paar Tagen hunderte an Spamkommentaren manuell löschen musste, musste eine neue Lösung her. Nach einigem Suchen bin ich dann auf das Wordpress-Plugin NospamNX von Sven Kubiak gestoßen. Das Plugin steht unter GPL und lässt sich durch einfaches kopieren in den Plugin-Ordner installieren.

Die Funktionsweise des Plugins ist ebenso einfach wie effektiv. Dem Kommentarformular wird ein weiteres Feld hinzugefügt, das per CSS direkt wieder versteckt wird. Für normale Blogkommentatoren ist somit kein Unterschied erkennbar, ihr Browser zeigt das Feld nicht an, also können sie es nicht ausfüllen und es bleibt bei legitimen Kommentaren in der Regel leer. Den Lesern bleiben somit nervige Maßnahmen wie Captchas erspart, die die Zugänglichkeit mindern und das Kommentieren erschweren.

Spambots hingegen sind meist nicht in der Lage, das CSS richtig zu interpretieren und füllen automatisiert alle Felder inklusive dem versteckten aus. Daran erkennt das Plugin dann, dass es sich um einen Bot handelt und sortiert den Kommentar als Spam aus oder (je nach Konfiguration) blockiert ihn direkt.

In der Praxis funktioniert das System nach meiner Erfahrung sehr gut. Je nachdem, wie viele Artikel ich hier schreibe, können innerhalb von ein paar Tagen bis Wochen hier im Blog mehrere hundert Spam-Kommentare auflaufen. Momentan beschränkt sich meine Arbeit darauf, diese auf legitime Kommentare zu überliegen und in regelmäßigen Abständen zu löschen.

Nicht darüber automatisch aussortierte Kommentare sind nichtautomatisierter Spam (bei mir maximal 3 Kommentare im Jahr) und Pingbacks bzw. Trackbacks. Zu den weiteren Nachteilen des Systems zählt leider, dass es sich nicht mit dem OpenID-Plugin für Wordpress verträgt. Jeder über OpenID authentifizierte Kommentar wird aufgrund der Änderung des Namens als Spam aussortiert, obwohl ich diese Kommentare im Gegenteil gerne direkt freigeschaltet sehen würde. Nach Aussage des Autors wird sich diese Situation leider auch in nächster Zeit nicht ändern. Da es leider keine vergleichbaren Plugins (abgesehen von Anti Spam Bee, das bei mir im Test den selben Fehler erzeugt) gibt und ich auf jeden Fall eine Lösung haben möchte, bei der die Kommentare nicht an externe Server senden möchte, werde ich vorerst mit diesem Mangel leben.

Nun habe ich viel über Wordpress geschrieben, mein zweites Blog betreibe ich jedoch mit Drupal. Dort ist es mir leider bisher nicht gelungen, eine ähnlich leistungsfähige Lösung zu finden. Das Spam-Modul bietet zwar diverse Möglichkeiten zur Filterung von Spam, funktionierte jedoch in meinem Test sehr schlecht und löschte im Extremfall sogar legitime Kommentare, die keinerlei Spam-Charakteristika aufwiesen. Die andere Möglichkeit, Spamicide, funktioniert zwar ähnlich wie NospamNX für Wordpress, bietet mir jedoch zu wenige Konfigurationsmöglichkeiten, so dass ich die Kommentare nicht mehr sinvoll kontrollieren könnte. Somit bin ich dort wie oben beschrieben momentan auf die manuelle Ausfilterung von Spam angewiesen.

Soweit mein Einblick in die Spambekämpfung in Blogs. Ich freue mich auf weitere Artikel über die Spmabekämpfung vielleicht auch abseits von Wordpress.

Nein, das wird jetzt hier kein reines Release-Ankündigungs-Blog für Wordpress, in den nächsten Tagen werde ich hoffentlich wieder etwas mehr zum Bloggen kommen, aber die Wordpress-Entwickler lassen einen als Blogger nicht zur Ruhe kommen und haben mal wieder eine neue Version veröffentlicht.

Primär wurden dieses Mal diverse Bugs der letzten Version korrigiert, wer noch eine ältere Version laufen und damit keine Probleme hat, muss also nicht zwingend updaten. Die aktuelle deutschsprachige Version sowie das Updatepaket findet man wie immer bei Wordpress Deutschland.

Wie auch zahlreiche andere Blogger fand ich heute einen Brief einer Internetdruckerei (der Name wird an dieser Stelle absichtlich nicht erwähnt, um keinen indirekten Werbeeffekt zu erzeugen) in meinem Briefkasten, in dem diese kundtat, ihr hätte mein Blog gefallen und in dem mir ein Gutschein über 35 € für Artikel dieser Firma angeboten wurde. Als Gegenleistung wurde in dem Brief um einen “freien und unabhängigen” Artikel in meinem Blog gebeten.

Ich möchte mich an dieser Stelle bei den Mitarbeitern der Firma für den Gutschein bedanken und sehe das als ein Zeichen, dass mein Blog mittlerweile relevant genug (nicht nach den Relevanzkriterien der Wikipedia ) ist, um Ziel solcher Werbeaktionen zu werden.

Da ich hier jedoch grundsätzlich ausschließlich über Themen und (eher selten) Produkte blogge, die mich persönlich interessieren, verzichte ich danken auf den Gutschein, werde auch von diesem hier abgesehen keinen Artikel über die Druckerei oder ihre Produkte schreiben und möchte andere Firmen an dieser Stelle bitten, solche Angebote zukünftig nicht an mich zu senden, da eine solche “Belohnung” (oder wie man es bezeichnen möchte) aus meiner Sicht nicht mit der Unabhängigkeit eines Bloggers vereinbar ist und zu einer Vermischung von redaktionellen Inhalten und Werbung führt.

Dieses mal wurden zwar keine wirklich kritischen Löcher gestopft, aber man will ja auch nicht, dass die verwendete Software bekannte Sicherheitslücken aufweist. Wordpress 2.8.6 ist also raus und das Update ist bei mir auch problemlos verlaufen.

Update- und Komplettpaket der deutschssprachigen Version gibt es wie immer bei Wordpress Deutschland.

Soeben wurde ein Sicherheitsupdate für Wordpress veröffentlicht. Dabei wird eine Sicherheitslücke behoben, die es im schlimmsten Fall erlauben würde, Zugriff auf einen Rootserver zu erhalten. Da die Bibliothek aber nur im Dashboard zum holen der Feeds benutzt wird, wird das Risiko von den Entwicklern dennoch als gering eingeschätzt. Allen Benutzern der Software, die ihre Installation selber verwalten, wird daher geraten, ihre Installation schnellstmöglich zu updaten.

Auf Wordpress-Deutschland gibt es bereits die deutsche Version 2.6.3 und ein Updatepaket für bestehende Installationen. Zu beheben der Sicherheitslücke reicht es aus, zwei Dateien im wp-includes-Verzeichnis auszutauschen bzw. zu überschreiben.

Update: Mittlerweile ist auch noch ein Sicherheitsproblem mit dem default-Theme von Wordpress bekannt geworden. Wer dieses Theme verwendet, sollte es auch schnellstmöglich updaten.