mcnesium.com

wie ich den kampf gegen die spambots gewann

bevor ich wieder anfing, auf der eigenen website zu schreiben, lief das wordpress schon ein gutes halbes jahr so vor sich hin und hat eigentlich nichts gemacht. außer spambots anlocken.

einige erinnern sich vielleicht noch an meine bacon ipsum-einträge zum testen der verknüpfung mit den sozialmedien. die posts waren frei von jeglichem sinn, trotzdem haben die spambots kommentiert bis zum umfallen. vermutlich ist die domain auch nach jahren der irrelevanz bei suchmaschinen angesagt gewesen.

jedenfalls hab ich einiges ausprobiert, um die biester loszuwerden. da das von automattic mitgelieferte akismet rechtlich fragwürdig ist, hab ich stattdessen antispam bee im einsatz. das hat den großteil schon ganz gut bekämpft, aber es kamen trotzdem manchmal 15-20 kommentare am tag durch. also hab ich erstmal auf moderiert gestellt, aber das nervt natürlich, wenn ich 20 mails mit moderationsanfragen am tag bekommme.

das plugin spam be gone hat überhaupt nichts gebracht. die ja ich bin ein mensch-checkbox haben die spambots offensichtlich auch gecheckt, die fiesen lügner. irgendwelche blöden captchas wollte ich eigentlich nicht haben, zumal die entweder für menschen schwerer zu lösen sind als für bots, oder ebenfalls von diensten auf us-servern abhängig sind. ich hab markus, caschy und johnny gemailt, wie die damit umgehen, aber keiner von ihnen wollte mir sein geheimnis verraten :(

also hab ich dann doch ein captcha eingebaut, das aber keine grafiken abtippen sondern eine einfache rechenaufgabe lösen lässt. die statistik zeigt, dass es dringend nötig war und das plugin seine aufgabe gut macht, denn die spamkommentare kommen jetzt nicht mal mehr bei anispam bee an, also kann es auch keine blocken.

als bonus oben drauf beißen sich auch die bots die zähne aus, die versuchen, sich ins wordpress backend einzuloggen, denn dort ist ebenfalls eine aufgabe zu lösen. das war vorher nämlich ebenfalls ein problem, da ich täglich mehrere info-mails vom plugin limit login attempts bekam.

Antispam Bee Statistik

Die Statistik zeigt die täglich von Antispam Bee geblockten Spamkommentare.

trotzdem gefällt es mir nicht hundertprozentig, denn aus usability-sicht ist ein captcha immer blöd. aber die mehrzahl von euch kommentiert nach wie vor lieber bei facebook. warum eigentlich? sind euch die rechenaufgaben zu schwer oder vertraut ihr mir nicht? also, weniger als facebook…?

  • Esh says:

    Einfachheit ist Trumpf, jeder Buchstabe ist zuviel … hier geht’s nicht um Vertrauen .. .

  • mcnesium says:

    wenn du das nächste mal kommentieren willst, steht dein name schon da ;)

  • Blub says:

    Erstmal: du benutzt WordPress … Da ist die Frage nach “Vertrauen” ja schon mal beantwortet. Selbst wenn man dir vertraut – die Software hat in der Vergangenheit oft genug gezeigt das man es ihr nicht sollte (aber keine Angst, momentan ist Rails dran).

    Nun zu deinem Chapta. Klar funktioniert das. Du bist halt der einzige der das so nutzt (und kein high profile target). Du kannst es ja mal als WordPress-Plugin zur Verfügung stellen und auf 20k Installationen ausrollen. Es wird keine drei tage dauern, da macht sich einer der Botbetreiber die “Mühe” das “Problem” zu fixen. Das ist dann wie mit der “Ich bin ein Mensch” checkbox — aber auch nicht besser.

    Meine Idee (der ich keine große Ahnung von Interweg/Seo/Spambots habe) wäre im übrigen, irgendein “Chapta” zu bauen das der Browser per Javascript löst. Beispielsweise eine Art Token, das entweder direkt “verrechnet” wird (dann kann man wieder seine Rechenaufgabe stellen) oder — Wenn die Bots selber js ausführen — das per Ajax zum Server zurück übermittelt, dort “verrechnet” und wieder zurückgeschickt und ins Form eingebaut wird. Das ganze kann man dann noch durch irgendwelche events triggern die üblicherweise nur in echten Browsern auftreten. Am ende taugt das aber auch nur so lange, bis sich jemand hinsetzt und den Ablauf mal automatisiert.

    PS: Englisches UI für nen Blog mit deutschem Text ist panne und “Required fields are marked” ist eine Lüge (zumindest in diesem Browser).

  • Esh says:

    Ne tut es nicht, bin aber vielleicht auch mit zu vielen Systemen unterwegs … Im übrigen: das Zertifikat ist nicht vertrauenswürdig, sagt chrome für iOS …

  • mcnesium says:

    das ist mir bewusst, liegt aber in dem fall an chrome für iOS. hab dafür gerade noch eine ssl-infoseite angelegt.

  • Philipp says:

    Ich hab mit Mindestverweildauer (also Zeitraum zw. Seitenaufruf und Formularabsenden mind. 5 Sek. oder mehr) und nem Honeypot sehr gut Erfahrungen gemacht. Schon mal probiert?

  • mcnesium says:

    bisher hab ich es hauptsächlich mit plugins probiert. mindestverweildauer war da bisher kein thema, wär aber mal ein ansatz den ich noch probieren könnte.

  • mcnesium says:

    ach ja, und wegen der sache mit dem honeypot frag ich mich halt, ob das nicht am ende genau so ist wie mit akismet, also daten die auf amerikanische server geschickt werden und das grundsätzlich erstmal der zustimmung des kommentierenden bedarf. wie ist das denn mit projecthoneypot.org, kennst du dich da aus?

  • Philipp says:

    Nein, projecthoneypot.org meinte ich nicht. Genau wie du habe ich etwas Bauchschmerzen, wenn Formulardaten der Nutzer an Dritte zur Validierung weiter geschickt werden. Ich meinte eigentlich folgende Methode (ich zitier aus Faulheit mal aus http://www.lifeisaprayer.com/articles/web-design/2011/preventing-form-spam):

    The module is aptly named: the module adds an invisible field to comment forms (and other forms), and if that invisible field has any data entered into it, the form is not accepted. Like a pot of honey in front of Pooh (a spammer), a field in a form is irresistable to a spam script, which goes through the form and throws a value into any field it can find.