Software Guide

Der Kommentar-Spam auf dieser Seite wird immer schlimmer. Heute kamen innerhalb weniger Stunden über 4.000 Spams rein, gestern 5.500 Spams.
Diese Angriffe kommen als normaler Kommentarspam, also nicht über Trackbacks.

Akismet hat dabei sauber alles geblockt. Trotzdem sind diese Angriffe nervig, schließlich kann unter den tausenden geblockten Kommentaren auch ein als falsch eingestufter dabei sein. Aber eine Einzelprüfung fällt bei diesen Spam-Massen aus. Zudem bedeutet dies eine massive Serverlast (der Spam selbst, dann die Arbeit durch Akismet, und dann das Anzeigen/Löschen).

Abhilfe?

Da es normaler Kommentar-Spam ist, wird dieser durch Bots durchgeführt, u.a. gibt es folgende Ansätze:

• Captcha. Also diese Bildchen, auf denen man nie erkennt, was man nun eingeben soll: „o“ oder „O“, „l“, „L“ oder „i“, etc. Nein, das möchte ich meinen Lesern nicht zumuten. Zudem ist Captcha nicht sicher, siehe z.B. captcha decoder.
• Rechenaufgaben. Es gibt das Did You Path Math?-Plugin, dieses stellt den Usern sehr einfache Rechenaufgaben, wie etwa „Was ist die Summe von 9 + 3 ?„. Problem bei diesem Plugin: Gibt man einen falschen Wert ein (auch: fehlendes Pflichtfeld wie Email-Adresse), und geht nach der Fehlermeldung wieder zurück, so ist der Kommentar-Inhalt weg.
• JavaScript-Lösung. Hashcash berechnet per JS clientseitig einen speziellen Wert, welcher zum Server zur Prüfung gesendet wird. Angeblich 100% sicher.
  Allerdings sperrt man damit Besucher ohne aktiviertem JavaScript aus (Thema ‚Barrierefreiheit‘), außerdem wurden bei mir zudem ohne aktivierten JS alle Kommentare ausgeblendet.
• Kommentar-Vorschau: Ersetzt man den „Speichern“-Button durch einen „Vorschau“-Button, welcher nach dem Anklicken erst mal eine Vorschau anzeigt, soll dies einige Bots davon abhalten, dass die Spams gepostet werden. Il Filosofo bietet mit Comments Preview ein solches Plugin an. Mir ist das allerdings noch zu unflexibel in der Einrichtung und daher nicht 100% auf meine Seite zuschneidbar. Dennoch macht das Plugin einen guten Eindruck, für den ein- oder anderen sicherlich so verwendbar.

Zumindest ein Ansatz: Modifiziertes Akismet

Rich Boakes zeigt mit seinem am 08. Juni vorgestelltem Plugin Akismet htaccess extension eine interessante Lösung:
Installation: man ersetzt die akismet.php durch Richs modifizierte Version. Danach sieht man Folgendes, wenn man die geblockten Spams im WordPress-Admin prüft:

Das ist ein Screenshot von heute mittag und zeigt Spams von gestern und heute, da ich gestern alle als Spam eingestuften Kommentare löschte. Es werden hier die 10 meisten Spammer angezeigt, wie im Screenshot ersichtlich liegen 4.801 Spam-Kommentare von wrkplace . com (Online-Poker) vor.
Das Plugin fasst die Spams zusammen, damit kann man diese auf einen Rutsch löschen. Übrig bleiben dann u.U. auch Kommentare, die fälschlicherweise als Spam eingestuft wurden.
Zudem bietet das Plugin das Bannen von IPs (siehe „Ban the listed IP addresses“). Hierdurch erfolgt ein „Deny from…“-Eintrag in der .htaccess, allerdings eben nur IP-basierend, z.B. wrkplace . com spammt mich weiterhin.

Für weitere Tipps und Hinweise bin ich dankbar.
Jetzt packe ich mal mein Gepäck, denn morgen früh geht es erstmal für 2 Tage nach Frankreich. Ich hoffe, dass es sich der Spam nicht nochmal verzehnfacht, denn vor 4 Tagen hatte ich schon mal über massiv angestiegenen Spam berichtet, „damals“ waren es nur gute 500 Spams.

• Nachtrag (Di 27.06., 21:30):
  Siehe hierzu auch einenn interessanten Artikel von Robert, dessen Server die Spam-Attacken nicht mehr mitmachte:
  Spam-Stats und Gegenmaßnahmen.
  Bei mir war es die letzten 2 Tage etwas ruhiger, „nur“ 1000 Spams, und z.B. innerhalb der letzten 30 Minuten 185 neue Spams.
• Nachtrag (Di 04.07., 00:10):
  Mit Einsatz vom mittlerweile selbstgeschriebenen Plugin Math Comment Spam Protection hat sich das Spam-Aufkommen wieder gelegt, siehe Artikel Kommentar-Spam-Plugin für WordPress geschrieben

Auf diesem Blog habe ich gerade massive Spam-Attacken festgestellt, innerhalb weniger Stunden sind 556 (!) neue Spam-Beiträge eingegangen:

Das verwendete Anti-Spam-Plugin (Akismet) hat alles zuverlässig geblockt. Normalerweise überfliege ich diese geblockten Spams immer kurz bevor ich sie lösche, denn ganz selten wird ein echter Beitrag als Spam erkannt.
Dies kann ich bei diesem Aufkommen nun leider nicht mehr machen, sondern lösche diese.
Ist auch noch nie so extrem gewesen, so 20-30 Spams waren die Regel / Tag.

Bitte um Verständnis, falls ich dadurch einen fälschlicherweise als Spam eingestuften Kommentar lösche.

Wahnsinn, während ich die letzten 2 Minuten diese Zeilen schrieb, sind aus 556 schon 574 neue Spams geworden.

Robert berichtet auch von Spam-Massen („…in nicht einmal 5 Minuten 300 Spameinträge…“).

Ich werde ein paar Maßnahmen ergreifen, ich denke an:

• Umstieg von reinem Akismet auf Spamkarma mit Akismet-Plugin
• Auto moderate comments Plugin einsetzen
• Bei den Kommentaren nur einen „Vorschau“-Button anbieten, erst danach kann gespeichert werden. Soll angeblich viele Bots verwirren.

Soeben habe ich eine neue Version vom Maintenance Mode Plugin für WordPress 1.5 und 2.x veröffentlicht.
Das Plugin zeigt nach Aktivierung anstatt der Webseiten nur eine Wartungsseite an, Beispiel:

Ist man jedoch eingeloggt, so hat man sowohl auf das Blog (Frontend) als auch auf die Adminoberfläche Zugriff. Dies ist sehr praktisch, wenn man umfangreichere Änderungen am Blog vornimmt.

Die neue Version 2.0 bietet nun die Möglichkeit, die angezeigte Wartungsseite bequem in den Plugin-Optionen von WordPress einzustellen, siehe Screenshot.

Unter WordPress-Plugin für Feed-Statistiken berichtete ich bereits vom Plugin FeedStats, welches Frank Bueltge vom Spanischen ins Deutsche übersetzt hat.

Zuerst war ich eher skeptisch gegenüber solch einem Plugin, da es gerade bei RSS-Feeds schwierig bis unmöglich ist, die Anzahl der Abonnenten zu ermitteln. Daher habe ich mir das Plugin nochmal näher angesehen und vergleiche es mit dem Online-Feedservice Feedburner.

Plugin-Einstellungen

(zur Vergrößerung das Bild anklicken)

Wie zu sehen ist, lässt sich, wie üblich bei Statistik-Software, u.a. die Anzahl Sekunden einstellen, ab der ein Besucher als neuer Besuch zählt, wenn dieser dieselbe IP-Adresse hat.

Waterburner

Feedburner behauptet großkotzig, dass es die Anzahl der Abonennten („Subscribers“) messen kann. Nur wie soll dies Feedburner exakt ermitteln, wenn sich z.B. ein Modem- oder ISDN-Nutzer über den Tag verteilt 10mal einwählt (also 10 mal neue IP-Adresse) und dabei immer automatisch die Feeds abgerufen werden, weil dies über den installierten Feedreader automatisch läuft. Tatsächlich kocht wohl Feedburner auch nur mit Wasser und wird in diesem Fall 10 Abonennten anstatt nur 1 Abonennten zählen können.

Das Feedstats-Plugin ist da gleich ehrlicher: In den Statistiken heißt es nicht „Abonennten“, sondern „Besucher“; von Abonennten ist erst gar nicht die Rede.

Online-Services

Es gibt aber auch Ausnahmen: Beispielsweise ist über den Online-Feedreader Bloglines die Anzahl der Bloglines-Abonennten für einen bestimmten Feed verfügbar, diese Zahl ist 100% zuverlässig und wird von Feedburner benutzt. Nur: Es kann bzw. wird in einigen Fällen der Fall sein, dass eine bestimmte Anzahl an Bloglines-Abonennten schon seit Monaten den kostenlosen Service nicht mehr nutzen und ihre Feeds über einen anderen Service lesen, in der Statistik laufen sie aber weiter als Abonennten mit.

Insofern erscheint also das WordPress-Plugin sogar zuverlässiger als der überall hoch gepriesene Feedburner, da das Plugin die tatsächlichen Zugriffe misst, und nicht die Anzahl der Benutzer, die sich irgendwann mal bei einem Online-Feedreader angemeldet und dort einen Feed eingetragen haben.

Auswertungen im Detail

Frank Bueltge hat mir freundlicherweise Screenshots von den FeedStats-Statistiken zur Verfügung gestellt:

• Screenshot 1, Bueltge (55k)
• Screenshot 2, KVFL (106k)

Wie zu sehen ist, kann FeedStats nicht nach Newsreader auswerten, was derzeit noch ein Hauptnachteil des Plugins ist. Ebensowenig werden Bots ausgefiltert, wodurch u.U. zu hohe Ergebnisse erscheinen.

FeedBurner bietet im Gegensatz sehr gute Auswertungsmöglichkeiten, z.B.:

Fazit

Das FeedStats-Plugin macht insgesamt einen guten Eindruck und versucht sein bestes, möglichst zuverlässig die Anzahl der Feed-Besucher aufzuzeichnen. Man darf jedoch nicht erwarten, dass es die Anzahl der Abonennten messen kann, denn das ist technisch nicht möglich. Das kann auch der Online-Feedservice Feedburner nicht zuverlässig, auch wenn er das behauptet.
Als Nachteil des Feedstats-Plugin bleibt die fehlende Auswertungsmöglichkeit nach Newsreader und Ausfilterung von bekannten Bots. Zudem gibt es das Plugin nur in spanischer und deutscher Sprache, wodurch es in der WordPress-Welt nicht die Verbreitung finden wird, die es verdient. Eine englischsprachige Version würde hier sicherlich den Bekanntheitsgrad des Plugins massiv erhöhen und könnte schneller dazu führen, dass ein Plugin-Autor das Plugin entsprechend erweitert und weiterentwickelt.

Webseitenstatistiken bieten umfangreiche Auswertungsmöglichkeiten, und man kann ziemlich genau u.a. die Anzahl der Besucher bestimmen und dabei z.B. Suchmaschinen-Robots ausschließen.
Problematisch sind jedoch RSS-Leser, gerade wenn man sog. „Full-Feeds“ bietet, also RSS-Feeds, die nicht nur Auszüge, sondern die kompletten Beiträge bieten. Hier tendieren viele Anwender dazu, Beiträge ausschließlich im Feedreader und nicht auf der jeweiligen Webseite zu lesen. Diese Leser möchte man jedoch auch in den Seiten-Statistken berücksichtigen.

Feedburner

Bisher war mir nur die Möglichkeit bekannt, Feedburner einzusetzen. Dies ist ein kostenloser Online-Dienst, der Besuchern die RSS-Feeds ausliefert. Für WordPress ist unter Using FeedBurner beschrieben, wie man seine Feeds auf FeedBurner umleitet. Feedburner bietet dabei interessante Zugriffsstatistiken, Beispiel:

Feedburner ist bekannt für relativ zuverlässige Daten, beispielsweise arbeitet der Service mit dem Online-Feedreader Bloglines zusammen und holt sich von dort direkt die Anzahl der Abonennten. In der Vergangenheit gab es allerdings dabei auch Probleme, die aber wieder schnell behoben wurden, beispielsweise berichteten BloggingTom, Robert Basic oder Perun von Problemen mit Netvibes.

FeedStats

Frank Bueltge berichtet nun von Feedstats, einem RSS-Feed-Statistik-Plugin für WordPress. Allerdings sind die Quellcode-Kommentare, Ausgabestrings und die Beschreibung des Plugins in spanisch, so dass die meisten nur spanisch äh nichts davon verstehen, daher hat Frank die wichtigsten Inhalte ins Deutsche übersetzt.

Nach welchen Regeln allerdings die Statistiken von dem Plugin erstellt werden, ist mir noch nicht bekannt. Es ist in jedem Fall wichtig und gut, Alternativen zu Feedburner zu kennen, um nicht in eine gewisse Abhängigkeit zu geraten, und das Betreiben des Feeds und die Aufzeichnung der Statistiken jederzeit selbst übernehmen zu können. Dennoch bin ich noch skeptisch um die Zuverlässigkeit des Plugins, da Feedburner angeblich so viel Mühe (Kohle) in deren Algorithmus gesteckt hat. Ich werde mir auf jeden Fall mal den Sourcecode des Plugins im Detail ansehen; nachdem PHP-Code zum Glück nicht spanisch ist, sollte man auch verstehen, was der Code so macht ;-)

Im WordPress-Frontend vermisste ich den schnellen Zugriff auf immer wieder benötigte Menüpunkte der Admin-Oberfläche (neuen Beitrag schreiben, Akismet-Spams, etc.).
Es gibt mehrere Plugins, die ein Menü direkt im Blog-Frontend anzeigen, z.B. Admin Menu oder Easy Admin Access. Allerdings haben diese Menüs den Nachteil, dass nicht immer die Menüpunkte angezeigt werden, die man selbst am öftesten braucht. Zudem integrieren sich diese Menüs nicht immer gut in bestehende Themes.

Meines Erachtens ist ein Plugin für diesen Zweck hier auch der falsche Ansatz, da ein solches niemals sauber in ein bestehendes Theme integriert werden kann.

Im Beitrag WordPress Theme-Optimierungen habe ich nun einen einfachen Weg aufgezeigt, wie man ein solches Menü in das Theme sauber integriert. Hier noch ein Screenshot, wie es auf Software Guide aussieht: Admin-Menü.

Und wieder gibt es zwei neue Artikel in der WordPress-Artikel-Reihe von Software Guide:

• Bessere Titel-Anzeige in WordPress
  Das Webdesignblog empfiehlt, die Titelanzeige von WordPress zu optimieren. WordPress zeigt im Browser normalerweise den Titel wie folgt an:
  
  Stellt man aber den Titel des Artikels an den Anfang, so ist ein höheres Ranking in Suchmaschinen zu erwarten.
  Ich habe das ganze noch weiter ausgebaut, um dem Besucher immer optimale Titel anzuzeigen. Mehr »
• chCounter in WordPress einbinden
  Der chCounter von Christoph Bachner ist ein sehr empfehlenswertes Statistik-Werkzeug für Webseiten, die unter PHP und MySQL laufen. Auf der chCounter-Webseite wird auf 2 Artikel verwiesen, die zeigen, wie man den chCounter in Movable Type und in Textpattern einbindet. Eine Beschreibung für WordPress gibt es allerdings nicht, daher habe ich jetzt eine solche erstellt.

Als ich gestern diverse Änderungen auf dieser Webseite vornahm, wollte ich, dass Besucher nur eine Wartungsseite zu sehen bekommen (…Derzeit werden hier Wartungsarbeiten durchgeführt, bitte versuchen Sie es später nochmal….).
Es gibt dafür das WordPress-Plugin Site Unavailable und die deutschsprachige Umsetzung !Wartungsmodus mit schöner Ausgabe.

Jedoch haben beide Plugins den Nachteil, dass man das Frontend, also die Webseiten selbst, nicht ansehen kann, obwohl man eingeloggt ist. Daher habe ich das Wartungsmodus-Plugin entsprechend erweitert:
Wenn man eingeloggt ist, hat man trotzdem Vollzugriff auf alle Seiten. Das ganze kann auch bei Bedarf weiter anhand von den User-Leveln (Administrator, Herausgeber, Autor, etc.) gesteuert werden.

Die Benutzung des Plugins ist simpel: sobald aktiviert, wird für alle Besucher der Wartungsmodus angezeigt. Wenn man mit der Wartung fertig ist, deaktiviert man das Plugin wieder.

Details siehe Maintenance Mode Plugin (Englisch), und hier noch ein Screenshot.

Soeben habe ich ein Update für das WordPress Link Indication Plugin veröffentlicht.

Neuerungen in der Version 2.3:

• Es werden nun auch beliebig verschachtelte Subdomains unterstützt – sowohl für das Blog als auch für die Links.
• Es können nun mehrere Blog-URLs in der Plugin-Administration angegeben werden.

Über Plugins ist es in WordPress möglich, Tags zu verwenden um Beiträge zu verschlagworten.
WordPress selbst bietet nur Kategorien an, diese lassen sich jedoch einfach als Tags bzw. Schlagwörter nutzen.

Wer also auf die Kategorien verzichten kann und stattdessen lieber Tags einsetzen möchte, kann dies wie folgt umsetzen:
Weiterlesen…