Immer mal wieder kommt es zu wellenartigen Verbreitung von Spamkommentaren bei WordPress. Während ich in den letzten Jahren mit der bisherigen Strategie gut gefahren bin, beobachte ich seit einigen Monaten eine Zunahme von Spam in den Kommentaren, sowohl auf meinen eigenen Seiten, als auch auf Kundenseiten. Eine Anti-Spam-Strategie-Anpassung war also nötig.
Spam-Kommentare sind erstmal nicht dramatisch, ich habe sämtliche Seiten so eingestellt, dass Kommentare vor einer Veröffentlichung manuell freigegeben werden müssen; egal ob es sich um meine eigenen; von mir im Zuge der Wartungspakete betreute oder von mir erstellte Seiten handelt. Ohne die Freigabe eines Kommentars, wird nichts veröffentlicht. Warum das sinnvoll ist, erkläre ich gleich noch. Nervig ist das Ganze aber trotzdem, wenn man bei jedem Login erstmal 5-100 Spam-Kommentare löschen muss.
Bei meinen Wartungskunden passe ich mein Anti-Spam-Konzept selbst an; diese Kunden sind also fein raus. Wenn du aber nicht zu meinen (aktuellen) Wartungskunden gehörst und trotzdem mit nervigem Spam auf deiner WordPress-Seite zu kämpfen hast, findest du in diesem Artikel einige hilfreiche Tipps und Tricks, wie du das Problem in den Griff bekommst kannst.
Sei aber gewarnt, bevor du zu hohe Erwartungen hast. Anti-Spam-Maßnahmen gehören definitiv zu den Maßnahmen, bei denen man am erfolgreichsten ist, wenn man am Ball bleibt. Einmal einstellen und fertig funktioniert hier nicht, denn die Spam-Bots und Versender von Spam-Nachrichten werden immer einfallsreicher und finden mit der Zeit auch Möglichkeiten, um z.B. Plugin-Schranken zu umgehen. Es heißt also in jedem Fall dranbleiben.
Legen wir los 🙂
Spam – was ist das eigentlich und warum ist das schlecht für deine WordPress-Seite?
Spam ist eigentlich ein Überbegriff und per Definition handelt es sich dabei ursprünglich um das massenhafte Versenden von Nachrichten auf dem elektronischem Weg (E-Mails). Aber seit es immer mehr Möglichkeiten des Austauschs im Internet gibt, breitet sich auch das Spammen immer mehr aus. Man findet Spammer in den sozialen Netzwerken, in Foren und eben auch bei Blogs. Inhaltlich enthalten Spam-Nachrichten entweder Werbung in direkter Form (also direkt im Kommentar-Text) oder aber in indirekter Form (z.B. in der angegebenen Webseite des Autors). Wenn das Kommentar irgendwas mit deinem Beitrag zu tun hat, mag das ja noch legitim sein; aber Spam-Kommentare haben in der Regel 1. nichts mit dem Inhalt deines Beitrags zu tun und verweisen 2. auf Seiten, mit explizit sexuellen oder gewaltverherrlichenden Inhalten, auf Onlineshops für Medikamente und andere Mittelchen und ähnliche Späße. Also nichts, was du unter dem Beitrag für deine Hundeschule, Tierpension oder Reitschule stehen haben willst.
Sind diese Kommentare aber einmal veröffentlicht werden sie auch von den Suchmaschinen ‘gelesen’. In der Regel erkennen Suchmaschinen Spam-Kommentare mittlerweile gut und eine Seite, die viele Spam-Kommentare mit Links zu potenziell schädlichen Inhalten enthält, kann im Suchalgorithmus herabgestuft oder schlimmstenfalls von der Suche ausgeschlossen werden; denn auch die Suchmaschinen haben wenig Interesse daran, Inhalte auszuspielen, die schlussendlich vielleicht zu einem Schadsoftware-Download führen.
Und natürlich bist du auch für das verantwortlich, was deine Seitenbesucher auf deiner Seite zu lesen und zu sehen bekommen und kannst auch als Verbreiter von Spam oder schädlichen Links verantwortlich gemacht werden.
Spam ist kurz gesagt nicht nur nervig, sondern auch blöd. Es gibt aber verschiedene Mechanismen, die dir helfen, Spam-Kommentare zu vermeiden oder wenigstens zu reduzieren.
Weniger Spam von Haus aus
Das CMS WordPress bringt bereits in seiner Grundinstallation so einiges an Werkzeugen mit, um Spam Einhalt zu gebieten. Doch gerade, wenn du dich mit der Materie WordPress nicht so gut auskennst, ist man schnell von der Vielzahl der Einstellungsmöglichkeiten überfordert.
Für die folgenden Einstellungen benötigst du Admin-Rechte; sofern du also 2 Benutzerkonten hast (was ich dir aus verschiedenen Gründen empfehle), logge dich als erstes mit dem Konto ein, welches als Benutzerrolle ADMINISTRATOR hat.
Anmerkung: In diesem Artikel geht es ausschließlich um selbst gehostete WordPress-Seiten; nicht um Blogs auf WordPress.com; dort kannst du diese Einstellungen meines Wissens nach leider nicht vornehmen (ein weiterer Grund, deine WordPress-Seite selbst zu hosten ;)).
Erster wichtiger Anlaufpunkt sind die Diskussions-Einstellungen. Du findest Sie im Backend unter EINSTELLUNGEN -> Diskussion.
Die Einstellungsseite ist etwas länger; deswegen splitte ich das in 2 Bilder. Im oberen Teil kannst du generelle Einstellungen festlegen. Mach dir Gedanken, ob du überhaupt einen Blog mit Kommentar-Funktion führen willst. Das bietet viele Vorteile (suchmaschinentechnisch aber auch für den Austausch mit Interessenten und Kunden), hat aber eben auch Nachteile.
Übrigens kann es, selbst wenn du keinen Blog integrieren willst zu Kommentaren kommen; es ist nämlich direkt bei der Installation von WordPress ein “Muster-Beitrag” angelegt worden. Diesen kannst du aber bedenkenlos entfernen, er trägt in der Regel den Beitragstitel “Hallo Welt” bzw. “Hello World” – je nach voreingestellter Sprache.
Wenn du gar keine Kommentarfunktion für deinen Blog willst oder überhaupt keine Blogbeiträge schreiben willst, kannst du hier direkt in den Standardeinstellungen den Seitenbesuchern verbieten, Beiträge zu kommentieren. (du kannst das auch händisch bei jedem einzelnen Beitrag unter den Beitragseinstellungen separat einstellen, wenn du z.B. nur einen einzelnen Beitrag hast, zu dem du keine Beiträge wünschst).
In den weiteren Kommentareinstellungen kannst du angeben, welche Daten erhoben werden, ob Kommentierende registriert und angemeldet sein müssen (sinnvoll, wenn du z.B. einen Nutzerbereich aufbaust – so hast du dann nur Kommentare von z.B. deinen zahlenden Kunden und kannst dort gezielt Fragen beantworten). Beachte bitte, dass diese Einstellungen auch bei der Erstellung deiner Datenschutzerklärung relevant sind.
Die wichtigsten Einstellungen sind Einstellungen zu E-Mails und was vor dem Erscheinen eines Kommentars passieren soll. Generell habe ich es so eingestellt, dass der Administrator eine E-Mail erhält, wenn ein Kommentar auf Freischaltung wartet. Außerdem stelle ich es immer so ein, dass Kommentare nur nach manueller Freigabe erscheinen. Dadurch kann ich schon anhand der Mail einschätzen, ob es sich um Spam handelt oder tatsächlich ein relevantes Kommentar ist und sofern es Spam ist, muss ich nicht direkt ‘loshetzen’, um es von der Seite entfernen. Ist ja sowieso nicht öffentlich sichtbar, also kann ich auch erst meinen Kaffee austrinken. 😉
Jetzt der untere Teil der Diskussions-Einstellungsseite. Auf dem Bild habe ich nichts in der Sperrliste eingetragen; allerdings hat sich gerade dieses Feld bei den aktuellen Spam-Wellen als sehr effizient erwiesen.
Die Kommentarmoderations-Box kannst du leer lassen; wenn du in den oberen Einstellungen eingestellt hast, dass Kommentare sowieso erst manuell freigeschaltet werden müssen (wozu ich dir rate, wenn du keine Lust hast 24h lang in Bereitschaft zu sein, um problematische Kommentare wieder zu löschen). Solltest du die Kommentarmoderation aber nicht aktivieren wollen, kannst du hier genauso wie bei der Sperrliste eine Blacklist erstellen (ich erklär’s gleich, hab noch einen Moment Geduld). Außerdem kannst du einstellen, dass ein Kommentar in die Moderations-Warteliste gestellt wird, wenn es eine von dir angegebene Anzahl von Links enthält.
Die Kommentar-Sperrliste hat sich gerade bei den aktuellen Spam-Wellen als sehr effizient erwiesen und erleichtert mir auf vielen Kundenseiten das Leben enorm.
Es handelt sich dabei um eine klassische Blacklist-Funktion; du kannst dort also eintragen, bei welchen Werten das Kommentar gar nicht erst in die Moderationsschleife geht sondern direkt gelöscht wird. Dabei ist es egal, ob der Wert in der IP-Adresse, Name, URL oder E-Mail-Adresse auftaucht.
Wenn du also zukünftig deine Spam-Kommentare durchschaust und auffällige Gemeinsamkeiten in Inhalt (z.B. Medikamentennamen) oder Mailadresse (@mail.ru ist so ein typisches Beispiel) erkennst, kopierst du dir diese, fügst sie in die Sperrliste ein und speicherst die Änderungen, bevor du anschließend wie bisher die Spam-Kommentare löschst. Dadurch werden zukünftige Kommentare mit diesem Inhalt gleich vom System rausgefiltert. Achte aber darauf, dass du wirklich sehr punktuell die Sperrliste nutzt; damit du nicht zu viel, aber auch nicht zu wenig sperrst.
Ich habe die Erfahrung gemacht, dass man immer “den kleinsten gemeinsamen Nenner” suchen und eingeben sollte. Wenn wir bei der Mailadresse bleiben; bringt es z.B. viel mehr die o.g. mail.ru in die Blacklist zu schreiben; als wenn du (fiktiv) lieschen.mueller@mail.ru einsetzen würdest. Hier würde die Blacklist nämlich nur dieses explizite Mailkonto filtern aber hans.mueller@mail.ru durchlassen.
Diese Liste kannst du immer wieder ergänzen, achte nur darauf, dass du pro Begriff eine neue Zeile verwendest. So kannst du dir ganz individuell deine Blacklist zusammen stellen und kannst darüber schon mal einen großen Haufen Spam rausfiltern. Es gibt im Internet diverse vorgefertigte Blacklists zum Download; allerdings rate ich dir dazu, dir eine eigene aufzubauen oder eine vorgefertigte zumindest sorgfältig zu überprüfen (es macht z.B. für die meisten Tierisch Selbstständigen keinen Sinn, wenn auf der Blacklist das Wort “Schwanz” steht – für Blogs ohne Bezug zu Tieren, kann dieses Wort schon eher Sinn machen auf der Blacklist). Und schlussendlich musst du auch eine vorgefertigte Blacklist wahrscheinlich immer wieder ergänzen, denn diese Listen sind auch für Spammer zugänglich und diese passen ihre Strategien an.
Wie du siehst, kannst du bereits mit den hauseigenen Bordmitteln einiges einstellen, um den Spam-Kommentaren Herr (oder Frau) zu werden. Ich habe mittlerweile eine eigene Blacklist in einem Word-Dokument erstellt und ergänze diese immer, wenn ich auf einer Seite etwas neues hinzufüge. Spätestens bei der nächsten Wartungsrunde wird die Blacklist dann bei allen Seiten von mir aktualisiert.
Anti-Spam-Plugins
Natürlich gibt es auch eine ganze Reihe von Plugins, die dich beim Kampf gegen die Spam-Kommentare unterstützen können. Ein paar häufig genannte Beispiele sind
Natürlich gibt es neben diesen Beispielen noch reichlich mehr Plugins, die dir das Leben mit bzw. ohne Spam-Kommentare erleichtern. Allerdings solltest du bei der Verwendung von Plugins 2 Dinge bedenken:
1. Weniger ist mehr
Ein Plugin ist ein Zusatzprogramm, bringt also zusätzlichen Code in deine Installation. Und zusätzlicher Code wiederum bedeutet nicht nur mehr Leistung, die der Server beim Anzeigen deiner Webseite verwendet; sondern auch mehr Möglichkeiten einen Schadcode oder eine Sicherheitslücke einzuschleppen (auch wenn es paradox ist, aber es sind schon WordPress-Seiten durch Sicherheitslücken im Code von Sicherheitsplugins gehackt worden – also immer schön aktuell halten, die Dinger).
2. Falsche Einstellungen führen zu vielfältigen Problemen
Auch die meisten Plugins müssen eingestellt werden, sie beziehen Blacklists von Servern und setzen Cookies. Du musst die Einstellungen so anpassen, dass sie zum einen den Spam herausfiltern; zum anderen aber auch nach europäischem und deutschem Recht arbeiten.
Sammelt das Plugin z.B. IPs und leitet diese an eine Spam-Datenbank auf einem Nicht-EU-Server weiter; ist das aus Sicht der DSGVO ein Problem. Und auch bei der Verwendung von Spam-Plugins musst du immer wieder anpassen und die Blacklist ggf. erweitern – entweder in den Plugin-Einstellungen oder eben wieder zusätzlich in den WordPress-Einstellungen wie beschrieben.
Wie du siehst, gibt es verschiedene Maßnahmen, die du durchführen kannst; um gegen Spam-Kommentare vorzugehen. Ich persönlich empfehle die den Gang über die WordPress-eigenen Mittel; statt über zusätzliche Plugins. Nutzt du aber aus anderen Gründen ein Plugin, was auch Anti-Spam-Maßnahmen beinhaltet; schadet ein Blick in die Optionen nichts.
Aber egal, ob Plugin oder Bordmittel, Spam ist ein fortlaufendes Problem und man wird dem Ganzen langfristig nur Herr (oder Frau) werden, wenn man an der Sache dran bleibt. Ich hoffe, ich konnte dir mit dem Artikel ein wenig helfen, die wichtigen ersten Schritte beim Kampf gegen Spam zu gehen. Solltest du Unterstützung oder Hilfe benötigen oder hast eine Frage oder Anmerkung zum Thema, hinterlass mir gern ein Kommentar oder schreib mir eine Nachricht 🙂
Hab ein schönes Wochenende,
deine Susann
Liebe Susann, ich bin so froh, dass Du weiterhin meine Homepage betreust und ich mich um die technischen Probleme nicht kümmern muss. Vielen lieben Dank dafür. Liebe Grüße Monika
Sehr toll, danke liebe Susan.
Liebe Grüße
Bettina