digitale Tools und Themen für Journalisten

Antispam Bee schützt nicht mehr zuverlässig vor Spam in WordPress-Blogs

© gertrudda – Fotolia.com

© gertrudda – Fotolia.com

Viele Betreiber eines WordPress-Blogs kennen das Problem: Kaum ist die Website online, kommen schon die ersten Spam-Kommentare rein. Bis jetzt schützte das kostenfreie Plugin Antispam Bee sehr zuverlässig vor dieser Plage – aber leider lahmt die Entwicklung und das Plugin verliert seine schützende Wirkung. Seit ein paar Wochen beobachte ich in zwei WordPress-Blogs – darunter Journalisten-Tools.de – vermehrt Spam-Kommentare, die von Antispam Bee nicht erkannt werden.

Was ist passiert

Antispam Bee arbeitet mehrstufig: Spam wird zum Beispiel dadurch erkennt, dass das Kommentar-Formular von WordPress um versteckte Felder erweitert wird. Füllt ein Spam-Bot diese (für den User nicht sichtbaren) Felder aus, ist die Sache klar: Der Kommentar stammt von einer Maschine, die nicht erkannt hat, dass ein Formular-Feld per CSS unsichtbar geschaltet wurde und es deshalb automatisch ausgefüllt. Klingt primitiv, ist aber extrem wirkungsvoll: Hunderte Spam-Kommentare auf Journalisten-Tools.de sind mir auf die Weise schon erspart worden. Sie wurden durch Antispam Bee automatisch erkannt und erschienen nicht in der Liste der freizuschaltenden Kommentare und wurden mir deshalb nicht per E-Mail gemeldet.

Bis April 2015 hatte Antispam Bee noch eine weitere sehr wirkungsvolle Schutz-Methode: Kommentare, die nicht in ausgewählten Sprachen und aus ausgewählten Ländern kamen, wurden als Spam eingestuft. Praktisch für eine Seite wie Journalisten-Tools.de, wo Kommentare auf Russisch oder Chinesisch eher selten sind. Diesen Schutz hat der damalige Entwickler Sergej Müller ausbauen müssen, weil der dahinter liegende Google-Übersetzngsdienst kostenpflichtig wurde und er aus verständlichen Gründen keine Lust hatte, diese Kosten zu tragen – während er sein Plugin selbst kostenfrei anbot. Als Sergej das Ende dieser Schutz-Funktion ankündigte, schlugen mehrere User vor, die Funktion kostenpflichtig weiterzuführen. So wäre es denkbar gewesen, dass jeder User für seine Übersetzungsvorgänge selbst bezahlt. Leider hat sich Sergej wenige Wochen nach dieser Ankündigung aus gesundheitlichen Gründen aus der Plugin-Entwicklung zurückgezogen. Seit der Ankündigung vor rund 18 Monaten haben seine Nachfolger leider nur zwei kleinere Updates veröffentlicht. Die Sprach- und Länder-Erkennung wurde nicht mehr eingebaut und so verliert Antispam Bee langsam seine Schutz-Funktion.

Gibt es Alternativen?

Es gibt viele Antispam-Plugins für WordPress, aber fast alle haben einen entscheidenden Nachteil: Sie nutzen einen externen Cloud-Dienst, an den Sie Informationen über den Kommentar schicken, um einen Spam-Wert ermitteln zu lassen. Das ist problematisch, weil man dann zum Beispiel die IP-Adresse des Users automatisch an Dritte weiterleitet. Dazu kommt, dass solche Plugins wie Akismet und CleanTalk Geld für die Nutzung verlangen.

Eine andere Möglichkeit wären die hinreichend bekannten Zahlen- oder Buchstaben-Rätsel – auch Captcha genannt. Der User muss dann eine Rechen-Aufgabe lösen oder unleserliche Buchstaben eintippen. Ein guter Schutz gegen Spammer – wenn die Aufgabe schwierig genug ist – aber eben auch nervend für alle Kommentar-Schreiber, die dann die Lust am Kommentieren verlieren. Da mir die Kommentare der User sehr wichtig sind – ich möchte ja wissen, was Ihnen an meinen Beiträgen gefällt und was nicht – ist das keine Lösung.

Bleiben Plugins wie „Anti-Spam“ oder WP-SpamShield Anti-Spam – All-in-One Spam Protection, die versprechen, Spam-Kommentare mit einer JavaScript-Falle und der oben beschriebenen Falle mit versteckten Feldern sauber zu identifizieren. Ich fürchte allerdings, dass Spammer nicht blöd sind und diesen Schutz auch aushebeln, wenn der Entwickler nicht dran bleibt. Ich werde das mal testen und berichten.

Parallel hoffe ich, dass die Entwicklung von Antispam Bee wieder in Schwung kommt.

Update (14. Februar 2017): Die Macher von Antispam Bee haben ein Update veröffentlicht, dass sowohl die Sprach-Filterung (Kommentare werden nur noch in bestimmten Sprachen zugelassen) als auch die Länder-Filterung (Kommentare aus bestimmten Ländern werden als Spam eingestuft) ermöglicht. Ich habe AntiSpam Bee deshalb wieder installiert und es filtert wieder richtig gut.

[wysija_form id=“4″]

27 Responses to “Antispam Bee schützt nicht mehr zuverlässig vor Spam in WordPress-Blogs”

  1. Henning Uhle

    Das ist ja en Ding. Ich hab das gar nicht für voll genommen. Aber stimmt schon, Antispam Bee wurde nicht wirklich mehr weiter entwickelt. Und ich schrieb erst noch die Tage darüber. Steht in meinem Blog, wer lesen mag.

    Mal sehen, was als nächstes kommt.

    Antworten
    • Sebastian Brinkmann

      Lange Zeit hat allein der CSS-Hack bei mir fast jeden Spam-Kommentar erwischt, aber offenbar hat jetzt mindestens ein Spammer seinen Bot verbessert. Das Markieren von Spam hilft auch nichts mehr. Ich habe seit gestern Abend WP-SpamShield im Einsatz und das Ding hat schon 30 Kommentare erwischt. Blöd nur, dass die Spams nicht im WordPress-Backend angezeigt werden, sondern vorher abgefangen werden und in eine Logdatei auf dem Server geschrieben werden. Der Entwickler begründet das damit, dass auf die Weise auch keine SQL-Injektions in die WP-Datenbank wandern. Siehe https://www.redsandmarketing.com/plugins/wp-spamshield/faqs/#faqs_1.

      Antworten
  2. Herbert

    Gleich Beobachtung in meinem Blog: Setze Antispam Bee schon lange ein, arbeitete hervorragend, seit ca. 3 – 4 Wochen kommen überwiegend russiche Kommentare durch, ca. 10 – 15 am Tag.

    WPBruiser macht einen gute Eindruck, alle Daten sollen beim Blogbetreiber verbleiben, kein Kontakt zu einer externen Datenbank und scheint gut gepfelt zu werden:

    Probiere ich jetzt mal aus …

    Antworten
    • Sebastian Brinkmann

      Vielen Dank für Dein Feedback. Diese russischen Kommentare habe ich auch beobachtet.

      Hinweis: Der Kommentar von Herbert wurde merkwürdigerweise von WP SpamShield als SPAM eingestuft, obwohl er ja erwünscht ist. Ich habe den Plugin-Entwickler informiert. Alle anderen gesperrten 71 Beiträge der vergangenen 24 Stunden waren eindeutig Spam.

      Hinweis 2: Ursache für die Spam-Einstufung war die URL des von Herbert genannten WordPress-Plugin, die auf einer Blicklist steht. Über die Gründe wollte der Entwickler nichts sagen. Da ich aber vermeiden möchte, dass meine User eine unsichere Website aufrufen, habe ich den Link aus dem Kommentar entfernt.

      Antworten
    • Remo

      Bei unserer auf WP basierenden Internetzeitung haben wir auch eine Menge Spam und alles überwiegend aus Rußland.

      Probieren grad WCSPERBER und noch ein Antispam-Ding aus.

      Mal sehen, was es bringt.

      Schade, daß Antispam-Bee nicht mehr so füssig weiterentwickelt wird.

      Antworten
  3. Robert

    Ich nutze eigentlich auf all meinen WP-Seiten Disqus. Die Spamblockierung funktioniert dort ziemlich gut. Man kann Spammer auf eine Blackliste setzen und besonders gut finde ich auch die Wortfilter-Funktion, mit der man bestimmte Keywords erst mal in die Moderation schicken kann (z.B. Kredit etc.).

    Antworten
  4. Herbert

    Tja, keine Ahnung, warum die Erweiter WPBruiser bei einer anderen Erweiterung auf der Blacklist ist – ist aber nicht so wichtig, da mein WP einen Fehler bei der Installation gemeldet hat.
    Disqus finde ich zwar von den Möglichkeiten her toll, aber mich stört, dass es zusätzliche Abrufzeit für den Anwender kostet.
    Es gibt gute Antispam-Tools, aber das Problem ist der Datenschutz … gar nicht so einfach.
    Vielleicht meldet sich Antispam Bee doch mit einem Update. Würde auch gerne für den Dienst zahlen, da er in der Vergangenheit absolut sauber gearbeitet hat.

    Antworten
  5. Tom

    Danke, für diesen Beitrag, Ich habe mich schon echt gewundert warum soviel Russen-Spam bekomme. Interessanterweise betraf es immer nur ein und den selben Beitrag. Mal wurde es mir zur Freigabe zugeschickt, ein anderes kam es komplett durch. Ich habe jetzt mal WP-SpamShield isntalliert, mal sehen wie das läuft.
    Durch diese Bots entstehen ja auch eine Menge Requests, was wiederum ganz schön den Server belastet. Kennt einer von euch eine Anti-Spam Lösung die diese Anfrage reduzieren kann?

    Antworten
    • Sebastian Brinkmann

      Vielen Dank für Deinen Kommentar.

      Die Bots lassen sich nur schwer ausschließen. Ich setze da lieber auf ein gutes Caching der Seiten und dann sind mir die Bots egal.

      Antworten
  6. Tery Whenett

    Hallo, vielen Dank für den Beitrag. Hatte mich schon gewundert, wieso seit 3-4 Wochen auf meinem Blog so viel Spam eintrudelt.
    Ich hoffe sehr, dass da seitens Antispam-Bee noch was kommt – da das wirklich bestens funktioniert hat…

    Grüße Tery

    Antworten
  7. Hans

    Wirklich fürchterlich, was momentan an Spam eintrudelt. Die Biene war mal so zuverlässig und datenschutzkonform. Ich hoffe, jemand verhilft ihr wieder zur alten Stärke

    Antworten
  8. Chris

    Kann ich so absolut nicht bestätigen; Akismet fällt aus Datenschutzgründen aus. Zu AntispamBee muss man natürlich auch das Honeypot-AddOn installieren, AntispamBee alleine bringt es nicht wirklich, dann ist Ruhe :-) Bei mir wird damit zuverlässig gefiltert wie eh und je.

    Antworten
  9. Michael Schäfer

    Wie schon mein Vorkommentator Chris, kann ich nicht bestätigen, dass Antispam Bee nicht mehr zuverlässig seinen Dienst verrichten würde. Sicher rutscht mal der eine oder andere Spam Kommentar durch, wie auch umgekehrt mal ein Nicht-Spam-Kommentar im Spam Ordner landet. Dafür habe ich ja die Möglichkeit vor dem endgültigen Löschen alle Kommentare noch mal zu prüfen.
    Da ich jeden Kommentar vor der Freischaltung eh manuell überprüfe, benutze ich dieses Plugin eher als vorgeschalteten Filter um mir die Arbeit zu erleichtern. Ein automatisches Freischalten der Kommentare kommt für mich definitiv nicht in Frage.
    Gruß Michael

    Antworten
    • Sebastian Brinkmann

      Ich prüfe auch alle Kommentare vor der Freischaltung. Trotzdem ist es nervig, wenn man plötzlich viele Spam-Kommentare bekommt und diese dann erst in der Mailbox hat und dann in WordPress-Backend als Spam einstufen muss.

      Antworten
  10. Simon Kraft

    In der Tat hatte Antispam Bee in den letzten Wochen Probleme mit einigen neuen Arten von Spam. Wir haben aber unter Hochdruck an einem Update gearbeitet, dass die alte Zuverlässigkeit wiederherstellt.
    Diese Version 2.7 ist jetzt so gut wie fertig und wird in den nächsten Tagen veröffentlicht.
    Wer schon jetzt testen möchte kann die Beta-Version installieren und uns auf den letzten Schritten zur finalen Version mit Feedback unterstützen: https://github.com/pluginkollektiv/antispam-bee/releases/tag/2.7-beta

    Antworten
  11. Angelika

    Hallo Sebastian,
    würdest du Antispam Bee nun wieder empfehlen? Ich bin derzeit auf der Suche nach einem Spam Plugin.

    Liebe Grüße

    Antworten

Schreibe einen Kommentar zu Angelika Antworten abbrechen

Einfaches HTML ist erlaubt. Ihre E-Mail-Adresse wird nicht angezeigt.

Abonnieren Sie weitere Kommentare zu diesem Beitrag per RSS