Wie du WordPress-Spam stoppst (DSGVO-konform, Kommentare, Formulare, ohne Captcha)

Durch die starke Verbreitung von WordPress hält es sich wie bei Windows: Beide Systeme sind starken Attacken ausgesetzt. Bei Windows sind es Viren, bei WordPress sind es Hacker, die Sicherheitslücken ausnutzen oder massiv Spam verursachen. Allerdings sind alle Systeme diversen Spam-Wellen ausgesetzt. Ein Wechsel bringt daher nicht unbedingt Vorteile. Doch wie stoppe ich dann den WordPress-Spam durch Kommentare und Kontaktformulare?

Die große WordPress-Community liefert dazu einige erfolgreiche Möglichkeiten.

Welche Möglichkeiten gegen Spam-Kommentare gibt es?

Kommentare gänzlich deaktivieren

Werden auf der Seite keine Kommentare benötigt, kann die Funktion für zukünftige Beiträge deaktiviert werden. Eine der einfachsten Möglichkeiten, dies zu tun, besteht darin, einfach das Häkchen bei der Option Personen das Verfassen von Kommentaren zu neuen Artikeln erlauben zu entfernen, die sich unter Einstellungen > Diskussion befindet. Achtung, das bezieht sich wirklich nur auf neue Beiträge. Alte Beiträge müssen dann händisch noch angepasst werden.

Kommentare können auch vollständig deaktiviert werden: Dazu gehe zum Abschnitt Standard-Posting-Einstellungen im oberen Bereich des Bildschirms Diskussionseinstellungen und deaktiviere die Optionen.

Anonyme Kommentare ausschalten

Die nächste Möglichkeit, die du hast, ist, anonyme Kommentare abzuschalten. Bei anonymem WordPress-Kommentaren werden Besucher standardmäßig nach vier Informationen: Kommentar, Name, E-Mail und Webseite.

Sind anonyme Kommentare deaktiviert, werden Name und E-Mail zu Pflichtfeldern. Das verhindert die großen Spam-Versender allerdings nicht daran, gefälschte E-Mail-Adressen zu verwenden.

Um anonyme Kommentare in WordPress zu deaktivieren, aktiviere einfach die Option Kommentarautor muss Name und E-Mail ausfüllen unter Einstellungen > Diskussion.

Kommentarmoderation aktivieren

Diese Einstellung ist grundsätzlich zu empfehlen. Niemand möchte ungeprüfte Kommentare in seinem Blog haben. Wer einen Blog betreiben möchte, sollte mit seinen Nutzern interagieren. Dazu gehört auch die Moderation, also in diesem Fall die Freigabe der Kommentare.

Folgende Einstellung muss dazu aktiv sein: Bevor ein Kommentar erscheint > muss der Kommentar manuell freigegeben werden.

Kommentare von angemeldeten Benutzern zulassen

Eine weitere Einschränkung ist nur von registrierten Nutzern ein Kommentar zuzulassen. Dazu gibt es folgende Einstellung:

Abschnitt Andere Kommentareinstellungen. Aktiviere die Option Benutzer müssen registriert und angemeldet sein, um Kommentare abgeben zu können.

Per Plugin ein Honeypot aktivieren

Mit den bisherigen Schritten wurden den Spammern diverse Hürden gesetzt. Allerdings lassen sich viele dieser Punkte umgehen. Es kann passieren, dass die Spam-Bots Registrierungen durchführen und alles automatisch sehr erfolgreich abschließen. Wie anfangs gesagt, sind die Entwickler bei WordPress schnelle Finger und passen sich recht schnell an.

In unseren Projekten nutzen wir sehr effektiv das kostenlose WordPress Plug-in Honeypot Anti-Spam by Raiola Networks. Die Einrichtung ist denkbar einfach: Plug-ins > Installieren > Suchen > Aktivieren > Fertig.

Das war es schon? Ja. Das Plug-in aktiviert Honeypot-Felder, die für Menschen nicht sichtbar sind. Die Bots erkennen im HTML jedoch die Felder, füllen diese mit ihren Spam-Daten und landen in der Falle. Der Vorteil: Es gibt keine Hürde bei der Eingabe. Es wird keine Rechenaufgabe benötigt. Es muss kein Bild gelöst, kein Puzzle gemacht oder mit DSGVO-kritischen Lösungen (Google reCAPTCHA) gearbeitet werden. Voilà.

Welche Möglichkeiten gegen Spamming in Formularen gibt es?

Honeypots auch gegen Formulare

WordPress selbst bietet keine Formulare an. Dafür werden häufig Plug-ins verwendet. Ein populäres Plug-in ist zum Beispiel Contact Form 7. Honeypot for Contact Form 7 by Nocean ist ebenso eine effektive Methode. Auch hier werden sogenannte Honeypot-Felder in die Formulare integriert. Unterschied zur Kommentar-Lösung ist jedoch, dass Honeypot-Felder selbst in das Formular eingefügt werden müssen. Diese lassen sich relativ schnell einbinden.

Andere Spam-Plugins (Alternativen)

Akismet Anti-Spam & Antispam Bee by pluginkollektiv

Beide Plug-ins erfreuen sich wachsender Beliebtheit. Jedoch ist bei beiden eine Funktion integriert, die einen Abgleich von IP-Adressen durchführt. Während die Verarbeitung bei Akismet in den USA durchgeführt wird, findet dies bei Antispam Bee höchstwahrscheinlich in Deutschland statt.

Weitere Details über Antispam Bee gibt die Datenschutzerklärung auf der Entwicklerseite jedoch nicht her.

Falls Sie sich für Antispam Bee entscheiden, sollten Sie lediglich darauf achten, dass die drei Optionen „Öffentliche Spam-Datenbank berücksichtigen“, „Kommentare aus bestimmten Ländern blockieren“ und „Kommentare nur in einer bestimmten Sprache zulassen“ ausgeschaltet lassen. Alle drei verarbeiten die IP-Adresse des kommentierenden Besuchers und sind damit nicht DSGVO-konform.

Disable Comments & weitere Plug-ins

Grundsätzlich werden viele Erweiterungen für WordPress das Rad nicht neu erfinden. Wie sich weitere Plug-ins verhalten, haben wir nicht weiter geprüft, da obige Varianten bereits gut funktionieren und unseren Ansprüchen 100 % entsprechen.

Captchas (Google reCAPTCHA & Co)

Bei Captchas handelt es sich um kleine Aufgaben, die gelöst werden müssen. Eigentlich kennt sie jeder und niemand hat Lust auf diese Erweiterungen. Es gibt Puzzle, Rechenaufgaben oder andere Bilderrätsel.

Bekannt ist Google reCAPTCHA. Hier handelt es sich aber um einen US-amerikanischen Betrieb und Stand heute ist eine Datenverarbeitung nur dann erlaubt, wenn die Daten verschlüsselt übermittelt und aufbewahrt werden und der Dienstanbieter keine Möglichkeit zur Verarbeitung persönlicher Daten hat.

Eine solche Einrichtung ist deutlich aufwendiger als die erfolgreich getesteten Honeypot-Funktionen.

2 Idee über “Wie du WordPress-Spam stoppst (DSGVO-konform, Kommentare, Formulare, ohne Captcha)

  1. Christine D. sagt:

    Wenn eine reale Person pro Tag 50 Kommentare in diversen WP-Blogs abgibt, merkt das Akismet? Oder ist das nur ein Abgleich mit einer Riesendatenbank, wo nur Spam-Bots landen?

    • Vincent Rammelt sagt:

      Also laut Plugin-Beschreibung steht dort: „Akismet macht eine Gegenprüfung deiner Kommentare und Kontaktformular-Übermittlungen mit unserer globalen Spam-Datenbank, um zu verhindern, dass deine Website böswillige Inhalte veröffentlicht. Du kannst den Kommentar-Spam überprüfen, der unter dem Admin-Bildschirm „Kommentare“ deines Blogs erfasst wird.“

      Wonach genau der Spam bewertet wird, lässt sich wahrscheinlich nicht beantworten. Denn die Antwort bedeutet: Spammer passen sich an diese Antwort an und das Spiel geht von vorne los.

      In der Datenbank landet meiner Meinung nach alles. Deswegen ist es bei Betrachtung der DSGVO hochgradig gefährlich dieses Plug-in zu nutzen, weil es dem Admin einen Haufen Recherche-Arbeit bringt. Daher nutze ich nur Honeypot-Felder und das sehr erfolgreich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.