Kommentar-Spam

Kommentar-Spam im WordPress-Blog

Jeder, der ein Blog mit Kommentarmöglichkeit betreibt, wird sich früher oder später mit dem Thema Kommentar-Spam auseinandersetzen müssen. Irgendwann trifft es jeden. WordPress ist hierfür besonders anfällig - die Popularität des Weblog-Systems macht es für Spammer interessant, denn die Entwicklung der vollautomatischen Spam-Programme lohnt sich vor allem für weit verbreitete Systeme. Dabei schaden die Spammer nicht nur den zugemüllten Seiten. Langfristig schaden die in den Kommentaren platzierten Links, um die es beim Kommentar-Spam geht, auch den Seiten, auf die diese Links verweisen. Herumgesprochen scheint sich das aber immer noch nicht zu haben.

Gestern traf es massiv diese Website. Dabei befindet sich Journalismus plus als sehr frische Seite mit einer Sichtbarkeit von 0,00 noch im Nestschutz. Aus diesem Grund hatten wir auch noch kein Anti-Spam-Plugin installiert, und blöderweise war die Benachrichtigungsfunktion an den Administrator aktiviert, die über jeden hereinkommenden Kommentar per Mail informiert. Als sich das Postfach mit nahezu 300 Mails von WordPress füllte, war klar, dass journalismus-plus.de in eine Adressliste der Spam-Schwachköpfe geraten war.

Interessant ist, dass es sich bei diesen vollautomatisch generierten Spam-Einträgen ausschließlich um fremdsprachige Kommentare handelte. Dies Phänomen konnte ich in den letzten Monaten bei mehreren frisch aufgesetzten Blogs beobachten. Offenbar hat sich die Sinnlosigkeit solcher Maßnahmen bisher nur in der deutschen Blackhat-SEO-Szene 'rumgesprochen. Klar ist jedenfalls: Das Sammeln von Links bringt im Rahmen einer Offpage-Optimierung langfristig nur etwas, wenn die verlinkende Seite mit der verlinkten in thematischem Zusammenhang steht. Dies ist bei automatisierten Spam-Kommentaren höchst unwahrscheinlich.

Beispiele für Kommentar-Spam:

I’m really enjoying the design and layout of your blog. It’s a very easy on the eyes which makes it much more pleasant for me to come here and visit more often. Did you hire out a designer to create your theme? Outstanding work!
------------
I have read several excellent stuff here. Definitely worth bookmarking for revisiting. I wonder how much attempt you place to make this type of wonderful informative site.
------------
Greetings from Colorado! I’m bored at work so I decided to browse your blog on my iphone during lunch break. I enjoy the info you present here and can’t wait to take a look when I get home. I’m amazed at how quick your blog loaded on my phone .. I’m not even using WIFI, just 3G .. Anyways, fantastic blog!
------------
It’s a shame you don’t have a donate button! I’d definitely donate to this fantastic blog! I guess for now i’ll settle for bookmarking and adding your RSS feed to my Google account. I look forward to new updates and will share this blog with my Facebook group. Chat soon!

Zwei dieser 'Komplimente' verlinkten über das Website-Feld auf Pornoseiten, die beiden unteren verwiesen auf ein Blog bei wordpress.com, das vom Free-Hoster-Service allerdings bereits gesperrt wurde.

Etwas cleverer ist automatisierter Blog-Spam, wenn er sein Thema selbst mitbringt. Vor allem die länger geratenen Anti-Kommentare bemühen sich, das ursprüngliche Thema des Beitrags 'umzuschreiben'. Sie setzen also mittels des Kommentars neue Inhalte (vor allem Keywords) auf die Seite, um den Suchmaschinen eine Themenrelevanz zur verlinkten Seite vorzugaukeln. Das eigentliche Beitragsthema wird schlicht ignoriert, was sie auf den ersten Blick als Spam entlarvt (offenbar werden sie massenweise übers Netz verbreitet in der Hoffnung, auf Blogs zu stoßen, bei denen die Kommentare ungeprüft freigeschaltet werden).

Der überwiegende Teil der Spams aber besteht aus maschinell zusammengeknüppelten Sinnlossätzen, und die Links zeigen auf Webseiten (häufig Subdomains), die ihrerseits vermutlich auf die eigentlichen Zielseiten (meistens Shops) verweisen. Ein weiteres Beispiel:

“I spoke with Brendan Rodgers several times and he told me,Nike Air Max 90, but Liverpool are adamant no such buy-out clause exists in Suarez’s contract and. using a company credit card for personal gain – and were accused of spending more than ? yes, who qualified after completing a comprehensive play-off win over Fenerbahce this week,Jose Mourinho’s Chelsea,” Paul Ward, and more types of sex in our repertoires,Oakley, is a former NSA contractor, and Horner has earmarked the Perth native as a b

Sobald diese zwischengeschalteten Seiten von Google oder anderen Suchmaschinen enttarnt und mit einer Penalty belegt wurden, können sie oder die weiterleitenden Links gelöscht werden. Die Zielseiten sind so vor der Bestrafung geschützt.

Was ist gegen Kommentar-Spam in WordPress zu tun?

Zuerst, und dies mag komisch klingen, solltet Ihr das Akismet-Plugin löschen. Obwohl es ein vermutlich sehr effektives Anti-Spam-Plugin ist, das europäische Datenschutzrecht macht den Einsatz problematisch - denn: Akismet sendet die Daten (IP-Adresse, Mail-Adresse, Name, Text) jedes Kommentierenden ungekürzt an US-amerikanische Server. Nur mit Mühe lässt sich das innerhalb einer deutschen Website datenschutzrechtlich absichern (wer's dennoch versuchen will: rechtsunverbindliche Anleitung). Zudem halte ich es für bedenkenswert, Fremden statistische Auswertungsmöglichkeiten der eigenen Website zugänglich zu machen.

Antispam Bee Einstellungen
Die Einstellungsmöglichkeiten des Spam-Filters Antispam Bee sind übersichtlich gegliedert. Bei Fragen hilft die Dokumentation.
Danach folgt die Installation eines der vielen anderen Spam-Filter für WordPress. Explizit für deutsches bzw. europäisches Recht konzipiert ist das Plugin Antispam Bee von Sergej Müller. Es ist leicht konfigurierbar, gut dokumentiert und arbeitet zuverlässig. Nach Installation und Aktivierung dieses Spam-Filters finden sich die Einstellungsmöglichkeiten im WordPress-Backend unterhalb des Menüpunkts "Einstellungen". Rechtlich bedenkenswert sind hier zwei Punkte: Bei Aktivierung von "Öffentliche Spamdatenbank berücksichtigen" ergeben sich die oben bei Akismet beschriebenen Probleme (bei Antispam Bee aber hat man die Wahl!). Und auch "Kommentare nur in einer Sprache zulassen" sorgt für eine Übertragung von Daten an einen fremden Server. In diesem Fall bedankt sich Google, indem es die vom Google-Übersetzungsprogramm ermittelte Sprache zurückliefert (und eine Kommentarstatistik anlegt).

Und was hilft gegen nicht erkannten Spam?

Alle Anti-Spam-Filter helfen, maschinell erzeugte Spam-Kommentare zu erkennen und ggf. direkt zu löschen. Antispam Bee beispielsweise gaukelt, neben weiteren Schutzmechanismen, den Spam-Robots ein falsches Eingabefeld vor. Menschliche Kommentatoren hingegen sehen dieses gefakte Feld nicht. Und dummerweise machen sich auch einige Menschen die Mühe, manuell Müll einzutragen. Dagegen ist leider noch kein 'automatisierendes' Kraut gewachsen. WordPress bietet im Backend allerdings kleinere Hilfen an.

Spam-Abwehr im WordPress-Backend

Unter Einstellungen -> Diskussion (Settings -> Discussion) bietet das Blog-System einige Möglichkeiten zur Vorfilterung der Kommentare, die noch nicht von einem Anti-Spam-Plugin aussortiert worden sind. Bewährt hat sich die Einstellung: "Bevor ein Kommentar erscheint, muss der Autor bereits einen genehmigten Kommentar geschrieben haben." Dadurch werden alle Erstkommentare in die zu moderierende Warteschlange gestellt. Beiträge von Kommentatoren, die vorher bereits einen genehmigten Kommentar verfasst hatten, werden direkt freigeschaltet. Falls dann doch 'mal jemand diese recht verbreitete Konfiguration clever ausnutzt, lässt sich solch ein freigeschalteter Beitrag nachträglich noch löschen oder der enthaltene Werbelink entfernen (nett ist es auch, den Link zu ersetzen mit einem Verweis auf die Konkurrenz des Spammers :-) ).

"Eine hohe Anzahl von Links ist ein typisches Merkmal von Kommentar-Spam", sagt WordPress und bietet daher die Möglichkeit, über diese Anzahl zu filtern. Voreingestellt ist hier 2: Beinhaltet ein eigentlich freigeschalteter Kommentar (s. o.) 2 oder mehr als 2 Links, wird er nicht mehr automatisch freigegeben. Ihr könnt diese Zahl bei Bedarf auch auf 1 stellen. 0 hingegen sorgt dafür, dass gar kein Beitrag mehr maschinell durchgeschaltet wird (die deutsche Übersetzung zu diesem Einstellungspunkt ist falsch! Das englische Original lautet: "Hold a comment in the queue if it contains [Anzahl] or more links.").

Und schließlich bietet das WP-Backend noch zwei Listen an, um dort Wörter, Wortbestandteile und IP-Adressen einzutragen, nach denen gefiltert werden soll. Die Spam-Words-Liste packt alle betroffenen Kommentare in die Warteschlange, die darauf folgende Kommentar-Blacklist löscht sie direkt (bzw. werden sie in der Datenbank gespeichert, sind für den Admin aber nicht mehr sichtbar). Eine Leerzeile innerhalb einer dieser beiden Listen führt übrigens dazu, dass alle Kommentare ausgefiltert werden.

Wie erkenne ich überhaupt manuell eingetragenen Spam

Die Unterscheidung zwischen spammigen Kommentaren und ernsthaften Beiträgen wird spätestens bei gut gemachten Werbe-Spams zur Gratwanderung. Hier muss jeder selbst seine Balance finden. Klar ist jedenfalls: Ein Beitrag ohne jeden Bezug zum Thema ist per Copy & Paste ins Kommentarfeld gepackt worden. Die allgemein gehaltenen Lobeshymnen à la "toller Blog" gehören daher in den Mülleimer. Auch Texte, die knapp am Thema vorbeilaufen, weil offenbar lediglich die Überschrift gelesen wurde, und auch Paraphrasierungen von bereits veröffentlichten Kommentaren sind Müll. Wenn sich allerdings jemand die Mühe gemacht hat, einen Beitrag zu lesen, um ihn dann sinnhaft zu kommentieren und ganz nebenbei einen Link zu seinem thematisch passenden, ergänzenden oder auch kontrastierenden Beitrag setzt - ist das dann auch noch Spam? Entscheidet selbst. Und wenn Ihr Euch richtig entscheidet, komm ich vielleicht auch 'mal zum Kommentieren bei Euch vorbei :-) .

P. S.: Während des Schreibens dieses Beitrags hatten weitere Spam-Wellen für das Anwachsen der Müll-Kommentare auf über 800 gesorgt. Daher haben wir dann, um nicht alle Spams händisch löschen zu müssen, die komplette Online-Datenbank mit den gespeicherten Spam-Kommentaren durch die Offline-Datenbank ersetzt und dann Antispam Bee angeschmissen - mit Erfolg: NULL Spams am darauffolgenden Tag (bzw. wurden laut Dashboard-Statistik von Antispam Bee 87 Kommentare als Spam eingestuft und aufgrund unserer Konfiguration direkt gelöscht; umfangreiche Attacken hatte es offenbar nicht mehr gegeben). Wir sagen DANKE an Sergej Müller!

8 Gedanken zu „Kommentar-Spam im WordPress-Blog

    1. Es ist jedenfalls enorm hilfreich (und schnell gemacht), wenn sich die Spam-Kommentare häufen.

  1. Via Antispambee ist dieser ganze englische Spam-Mist ja schon "ausgeschaltet". Bzw. sogar überhaupt alles, was nicht deutsch ist. Ein Top-Plugin, dass ich mittlerweile auf allen WP Seiten im Einsatz habe. Was mich mehr ärgert, sind so typische deutsche "Kommentare" wie "Tolle Seite". Auch nix anderes als Spam. Da komme ich mir immer regelrecht für dumm verkauft vor. Zwei Wörter, dafür einen Link hinterlassen. Egal ob Do- oder Nofollow. Für mich ein absolutes No-Go!

  2. Ich nutze das Plugin Anti Spam Bee, sonst macht es kein Spaß, dauert bekommt man irgendwelche Englischen Kommentare. Das nervt echt mit der Zeit.

    1. Jups, seh ich auch so. Zum Glück wurde Antispam Bee kürzlich überarbeitet - funzt nun wieder gut.

  3. Antispam Bee ist schon ein nützliches tool, allerdings hat es auf meinen Seiten trotzdem immernoch Spam Kommentare gegeben allerdings waren es deutlich weniger.

  4. Vielen Dank für diesen Artikel. Genau diese Spam-Problematik hält mich davon ab die Kommentarfunktion für meine Website freizuschalten. Ein Tool wie das Akismet-Plugin funktioniert, entspricht aber wieder nicht den Datenschutzrichtlinien. Es ist doch echt zum heulen. Ich finde das der Aufwand den man mit der Kommentarfunktion hat nicht durch den Nutzen der generiert wird gerechtfertigt ist.

  5. Ein altes Problem. Zum Glück gibt es auch Plugins, die konform zu unserem Datenschutz sind. Kommentare gehören zum Netz und sollten erhalten bleiben. Schließlich ist es die Interaktion von der alles lebt.

Kommentare sind geschlossen.