Software Guide

Vorkommnisse

Am 22. Juni berichtete ich von vermehrtem Spamaufkommen auf Software Guide: innerhalb weniger Stunden über 500 neuer Spam-Beiträge. Am 26. Juni berichtete ich von einer Verzehnfachung, also mehrere tausend Spam-Beiträge/Tag, und mögliche Abhilfen. Am 4. Juli hatte ich daraufhin das Mathe-Antispam-Plugin veröffentlicht.

Robert Basic berichtete fast parallel ebenfalls von massiven Problemen mit Spam, bei ihm war das ganze noch einen Schritt weiter, da teilweise lange Wartezeiten auftraten aufgrund der Spamattacken, also massiv negativer Einfluss auf die Server-Performance (siehe u.a. Spam-Stats und Gegenmaßnahmen).
Denis hatte es noch härter erwischt.

Auslöser

Hauptauslöser waren massive direkte Spamattacken per Bots, diese gingen nicht über Trackback/Pingback, sondern direkt über die Kommentar-Funktion.

Das Problem ist in keinem der Fälle, dass tatsächlich Spam durchkommt, denn etweder wurde Akismet oder Spamkarma eingesetzt. Beide WordPress-Plugins haben einen unterschiedlichen Ansatz, arbeiten aber sehr zuverlässig.

Hauptprobleme

Die Hauptprobleme waren vielmehr:

• Wird ein (Spam-)Kommentar abgegeben, so erfolgen durch diese Plugins mehrere Schreib- und Lesevorgänge in der MySQL-Datenbank, was bei Attacken den Server entsprechend beansprucht und ausbremsen kann.
• Bei mehreren tausend als Spam eingestuften Kommentaren kann es vorkommen, dass dazwischen False Positive sind, also echte Kommentare, die als Spam eingestuft wurden. Diese gehen in den Massen allerdings unter und werden vom Administrator gelöscht. Aus der Tätigkeit der Moderation wird also bei mehreren tausend Spams/Tag nur ein “per Mausklick alle als Spam gekkenzeichneten Nachrichten löschen”.

Lösung

Als Lösung wurde von Software Guide daraufhin Folgendes eingesetzt:

1. Math Comment Spam Protection Plugin:
   Das Plugin habe ich vor wenigen Tagen geschrieben, es stellt beim Kommentieren simple Mathe-Aufgaben. Mehr zu dem Plugin siehe unten.
2. Trackback Validator Plugin: Markiert alle Trackbacks als Spam, welche auf dem verlinkenden Blog keinen Back-Link zur getrackbackten Seite haben.
3. Akismet: Läuft weiterhin im Hintergrund und blockt alles, was trotzdem durchkommt.

Auf Software Guide ist das Konzept bisher aufgegangen, kein einziger Kommentar kam durch, die Anzahl der als Spam markierten Kommentare ging auf < 20 Stück / Tag zurück.

Robert verwendet seit 06.07. ebenso dieses Konzept, wie er unter Die sanfteste Methode gegen Werbemüll berichtet, und scheint bisher ebenso gute Erfahrungen zu machen.

Mathe-Anti-Spam

Die meisten Spams blockt von Anfang an das Math Comment Spam Protection Plugin. Diskussionen dazu siehe auch unter Dr. Web: Spamschutz mit Rechenaufgaben.
Das Plugin stellt in seiner Version 1.0 einfachste Additionsaufgaben. Selbstverständlich lässt sich das per Bot sehr einfach umgehen, indem man das HTML ausliest und die Summe entsprechend übergibt. Allerdings verwenden derzeit nur die wenigsten Blogs einen solchen Schutz, somit ist die Abdeckung für Spammer völlig uninteressant.

Weiter plane ich für die Zukunft, das Plugin entsprechend zu erweitern und auch die Ausgaben der Zahlen und Operatoren als Text anzubieten, u.v.m.

Bilder und Captchas möchte ich nicht verwenden, da diese die Zugänglichkeit weiter einschränken. Zudem sind auch Captchas meist sehr einfach durch Bots lösbar, siehe PWNtcha – captcha decoder, Using AI to beat CAPTCHA oder W3C: Inaccessibility of CAPTCHA.

Das mit den Matheaufgaben ist nur eine Maßnahme von mehreren, und ist sicherlich verbesserungswürdig. Da aber heute der allergrößte Teil aller Webseiten keinerlei solcher oder ähnlicher Maßnahmen zur Spam-Abwehr treffen, ist diese Maßnahme sehr wirkungsvoll. Einige Webmaster nutzen von noch einfachere Möglichkeiten, wie etwa eine Checkbox (Kommentar wird nur gespeichert, wenn diese gesetzt ist) oder Kommentarvorschau. Das Plugin mit den Matheaufgaben ist da einen Schritt weiter, aber sperrt keine Anwender aus (als wie es etwa bei Captchas der Fall ist), auch da die Aufgaben selbst sehr einfach gehalten sind.
Die Rechenaufgaben zu berücksichtigen ist für Spammer zum heutigen Stand völlig uninteressant, da dieses Antipspam-Verfahren nur von einer minimalen Anzahl an Webseiten genutzt wird. In ein paar Jahren mag dies anders aussehen, aber bis dahin gibt es auch eine neuere Version des Plugins :-)