Antispam Bee richtig konfigurieren

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 2 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

Spam-Kommentare sind immer noch eine nervige Angelegenheit. Antispam Bee ist ein Plugin um dieses Problem zu lösen. Aber wie kann dieses Plugin konfiguriert werden, so dass möglichst wenig Spam durchkommt und wir nicht ständig mit Info-Mails belästigt werden?

Im Prinzip reicht dazu ein Blick in die Dokumentation. Der Text erklärt jede einzelne Konfigurationsmöglichkeit (plus ein paar Filter für die Entwickler unter euch). Aber der spannendste Teil steht erst ganz unten: Ein Artikel von Sergej Müller auf Google+, wo er Tipps & Tricks gibt zur Konfiguration.

Entscheidend für die Konfiguration des Plugins sind die ersten beiden Spalten. Hier die wahrscheinliche Ausgangszustand:
Vorher-AntispamBee

Genehmigten Kommentaren können wir vertrauen. Wenn wir explizit jemanden freigeschaltet haben, dann wird es sicher kein Spambot sein.

Gravatar nutzt sehr wahrscheinlich intern Akismet für die Spamprüfung und stellt somit quasi einen Spamschutz dar, daher können wir Kommentatoren mit Gravatar vertrauen, allerdings existiert so auch ein ähnliches Datenschutzproblem wie bei Akismet. Daher auf deutschen Sites nicht aktivieren.

Kommentarzeit berücksichtigen sorgt dafür, dass zu schnell (unter 5 Sekunden) abgesendete Kommentare ebenfalls als Spam angesehen werden. Der Wert ist per Hook steuerbar und kann bei schnell per Copy&Paste eingefügten Kommentaren aber schon mal ungewollt anschlagen. Zudem funktioniert diese Technik nicht bei gecachten Websites. Daher lieber nicht aktivieren.

BBCode als Spam einstufen sollte aktiviert sein, sofern kein Plugin installiert ist, welches BBCode in Kommentaren ermöglicht.

Die IP-Adresse des Kommmentators validieren ist wieder so eine kryptische Funktion. Die Funktion nimmt die IP-Adresse des Kommentators und löst sie zu einem Hostnamen auf, dann nimmt sie diesen Hostnamen und löst diesen wiederum zu einer IP-Adresse auf. Am Ende wird verglichen, ob die zu diesem Host gemeldete IP mit der ursprünglichen IP übereinstimmt. Die Idee wäre großartig, wenn es da nicht Techniken wie Load Balancer gäbe, die zu einem Hostnamen mehrere IP-Adressen (aka Rechner) haben, auf die sie Last der Anfragen verteilen. Da kann es passieren, dass unterschiedliche IPs ausgegeben werden. Daher diesen Punkt lieber deaktivieren.

Die vordefinierten Regulären Ausdrücke sind so etwas wie eine mit Variablen zusammengebaute Mustererkennung und sollten auf jeden Fall genutzt werden.

Der erkannte Spam sollte nicht gelöscht werden. Stattdessen aufbewahren und die lokale Spamdatenbank einbeziehen.

Öffentliche Spamdatenbanken können wir in Deutschland nicht nutzen, da wir eine IP-Adresse zur Prüfung schicken würden, was laut Datenschutzgesetz nicht erlaubt ist, da es sich bei einer IP-Adresse um eine personenbezogene Information handelt. Und die dürfen wir nur nach expliziter Einwilligung nutzen.

Nachtrag: Mit Antispam Bee 2.7 sind zwei neue Möglichkeiten dazu bzw. zurück gekommen!

Es kann nun auch Kommentare aus bestimmten Ländern blockieren ausgewählt werden. Dabei wird der Service ip2country.info von Plugin-Originalautor Sergej Müller genutzt. Die Blacklist sperrt dabei alle Kommentare, die von einer IP aus diesem Land kommen. Die Whitelist sperrt alle Länder aus, bis auf die Länder aus der Whitelist. Beide Felder auszufüllen macht also keinen Sinn 😉 Da die IP gekürzt wird sollte das in Deutschland eigentlich okay sein dieses Feature zu nutzen.

Auch die zweite Funktion ist ein alter Bekannter. Mit Kommentare nur in einer Sprache zulassen wird durch die Google Translation API geprüft in welcher Sprache der Kommentar geschrieben wurde. Nur diese werden zugelassen. Alle anderssprachigen Kommentare werden abgelehnt. Auch dieses Feature sollte nutzbar sein, da nur Teile des Kommentartext übermittelt werden.

Inwieweit diese Übermittlung technisch notwendig ist und ob auf sie nicht zumindest in der Datenschutzerklärung hingewiesen werden muss, das müssen die Datenschützer und Anwälte ausmachen. Wer da mehr Infos für mich hat, gerne ab in die Kommentare!

Damit die lokale Spamdatenbank auch befüllt wird, muss natürlich der erkannte Spam gekennzeichnet und nicht gelöscht werden.

Wer nicht regelmäßig im Adminbereich ist, kann sich bei Spam via E-Mail informieren lassen.

Damit wir lernen, welcher Filter wirklich etwas bringt (oder welcher false positives erzeugt) sollte der Spamgrund natürlich immer zum Kommentar mitgespeichert werden.

Damit die lokale Spamdatenbank nicht voll läuft kann der vorhandene Spam nach zum Beispiel 90 Tagen gelöscht werden. 3 Monate sollten die meist in Wellen kommenden Spamangriffe gut abfangen und danach kann die Datenbank von diesem Müll auch wieder automatisch bereinigt werden.

Wer keinen Wert auf Trackbacks oder Pingbacks legt, der kann beim nächsten Punkt die Aufbewahrung auch auf Kommentare beschränken und so Spam-Trackbacks/Pingbacks sofort löschen lassen.

Nun kommt der spannendste Punkt: Bei welchen Spamgründen lohnt sich ein direktes Löschen? Und was bedeutet „CSS Hack“ eigentlich?

Die Grundfunktionsweise von Antispam Bee ist folgende: Das WordPress-Kommentarfeld wird per CSS ausgeblendet und ein neues Feld mit einer kryptischen ID übernimmt die Funktion den Kommentartext aufzunehmen. Wird das per CSS versteckte Feld trotzdem ausgefüllt, dann handelt es sich in 99,9% der Fälle um einen Bot, denn ein Mensch sieht das Formular ja nicht.

CSS Hack meint in diesem Fall also „Programmiertrick mit CSS“ und hat nichts mit „gehackten Websites“ zu tun. 😉

Auch ein leerer Kommentar muss nicht zum Freischalten angeboten werden, sondern kann direkt gelöscht werden („Empty Data“ bzw. „Unausgefüllte Felder“).

So konfiguriert löscht Antspam Bee nun jeden leeren Kommentar und jeden Kommentar, der über das versteckte Feld gekommen ist, sofort. Die Wartung und Kontrolle wird so einfacher ohne, dass der Antispam-Schutz leidet.

Das Endergebnis sieht also in etwa so aus (je nach individuellem Setup auch leicht anders).
Nachher-AntispamBee

Du hast einen Tipp zu Antispam Bee oder Fragen zu den Einstellungen? Dann nutzt gerne fleißig die Kommentarfunktion dafür!

20 Antworten auf Antispam Bee richtig konfigurieren

  1. Cool, genau so hab ich es konfiguriert. I’m awesome!

  2. Guten Morgen, kam grad zur rechten Zeit der Artikel, das mit den CSS Hacks hatte ich bislang nie gesehen.
    Wer soll ahnen, dass da ein neues Fenster aufgeht…. 🙁

  3. Man darf gespannt sein, wie lange das noch klappt. Der CSS-Hack dürfte ja für Spammer nicht schwer zu umgehen sein, sobald die Bots einmal dran angepasst sind.

    • Der hält schon viele Jahre und wird auch noch lange halten. Bots, die sich solchen Spezialfällen widmen, gibt es nicht so viele. Um den Kommentar abzusetzen muss ja das Plugin erkannt und die individuelle ID des Feldes ausgelesen werden. Das dauert viel Zeit und die meisten Bots machen sich diese Mühe nicht.

      • Habe gerade ein paar Gedanken eingetippt und wieder gelöscht – will keinen Spammern Tips geben 🙂 Ich hoffe Du hast recht.

  4. Klasse Erklärungen, danke das hat geholfen

  5. Hi Torsten,

    ich habe momentan das Problem, dass sich einige Kommentatoren an der versteckten Textbox von Antispam Bee „aufhängen“. Es wird in der Kommentar-Box deren Adresse ausgegeben. Ich vermute mal, dass es evtl. an Formular-Ausfüll-Addons liegen könnte. Weißt du da mehr?

    • Hi Vlad,
      ja, es gibt mehrere Probleme mit der 2.7. Zum einen gibt es Probleme mit der Autofill-Funktion von Webkit-Browsern (Chrome, Safari, etc.), was dazu führt, dass z.B. die Straße im Kommentarfeld landet. Dann muss unbedingt nach dem Update auf 2.7 der Cache (sofern vorhanden) gelöscht werden, da wir den Honeypot geändert haben und dieser sonst mit den alten Cache-Daten natürlich nicht mehr funktioniert (ergo: Kommentar wird als Spam eingestuft) und als drittes gibt es Probleme mit allen Blogs, die per Filter am Titel herum schrauben, was zu einem Fehler bei der Secret-Erzeugung führt, was den gleichen Effekt hat. Alle diese Problem sind in der 2.7.1 gefixt, die hoffentlich Ende der Woche released wird.

      • Hallo Torsten,

        danke für die schnelle Antwort. Eigentlich wollte ich diesen Kommentar viel früher schreiben bzw. ich dachte ich hätte ihn schon geschrieben. 🙂 Wie sagt man das so schön „der Lack ist ab“. 🙂

  6. Pingback: WordPress: Antispam Bee + Autofill-Funktion = Adresse anstatt Kommentar » perun.net

  7. Ich habe das Problem, daß Anti Spam Bee jeden ganz normalen Kommentar als Spam einstuft. Grund CSS Hack.
    Ich habe schon mehrere Funktionen aus, Einstellung wie oben ohne BB-Code, ohne reguläre Ausdrücke, ohne sofort löschen.
    Hat jemand eine Idee ?
    Gruß
    Johann

  8. Danke für die Erklärungen! Hab alles sofort umgesetzt.

  9. das war echt hilfreich, die Einstellungen habe ich lait dem letzen Bild übernommen, auch das mit dem CSS Hack hab ich durchgelesen jetzt weiss ich auch was ein Bot so macht. Danke für die Infos!
    Bei der neiesten Version von Antspam Bee gibts noch die Sonstigen Einstellungem gibt es da noch was zu berücksichtigen?

    • Die Sonstigen Einstellungen sind kaum relevant. „Statistiken als Dashboard-Widget generieren“ und „Spamzähler auf dem Dashboard anzeigen“ dienen nur der Information. „Eingehende Ping- und Trackbacks ignorieren“ würde die Spam-Prüfung dieser Kommentarformen deaktivieren. Das möchte man definitiv nicht. Und „Kommentarformular wird außerhalb von Beiträgen verwendet“ ist ein unüblicher Spezialfall, wenn das Kommentarformular auch auf den Übersichtsseiten angezeigt wird. Mit dem Aktivieren dieser Option wird dann auch dort der Schutz aktiviert.

  10. Pingback: - Chamäleon-Media Techblog

  11. Hallo Torsten,
    ganz herzlichen Dank für den ausführlichen Guide. Jetzt habe ich endlich den Sinn einiger Einstellung kapiert und entsprechend korrigiert. Der Spam reduziert sich merklich!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.