Der Kampf gegen Spam mit WordPress-Mitteln

Wenn du eine Website betreibst und darauf Kommentare der Besucher zulässt, dann kennst du die Thematik (oder lernst sie bald kennen): Spammer versuchen, dein Kommentarfeld als Linkschleuder zu missbrauchen.

Die beworbenen Seiten reichen von illegalen Produkten über Pharma-Imitate und Sex-Seiten bis zu mit Malware verseuchten Seiten. Wer ohne entsprechenden Schutz auf einer solchen Seite landet, holt sich im dümmsten Fall einen Trojaner oder ein anderes Virenprogramm. Jedenfalls sicher nichts, wofür man auf seiner Seite Werbung machen will.

Wir schauen uns an, wie man den Kampf gegen diesen Spam am besten angeht. In diesem Beitrag geht’s dabei um die Einstellungen, die WordPress bietet.

Den absoluten Schutz vor Spam in den Kommentaren gibt es nur auf zwei Weisen:

Kommentare ganz abschalten

Natürlich kann man in WordPress die Kommentarfunktion grundsätzlich deaktivieren und die Problematik Spam damit ein für alle Mal aus der Welt schaffen (zumindest für die eigene Seite).

Allerdings sind Kommentare eine hervorragende Möglichkeit, sich mit seinen Interessenten, Kunden, Followern oder Fans auszutauschen. Und zumindest zu einem Blog gehören sie nun mal wie das Popcorn ins Kino: Es geht zwar ohne, macht aber weniger Spass.

Dieser Fall ist also vielleicht deine Lösung, vielleicht aber auch etwas, das du genau nicht willst. Die entsprechende Einstellung findest du unter Einstellungen -> Diskussion

Der rote Pfeil deutet auf den Eintrag, den du deaktivieren musst, um die Kommentare komplett zu sperren.

Einschub: Der grüne Pfeil lässt Pingbacks/Trackbacks von fremden Blogs zu. Wenn du den Eintrag auch deaktivierst, kommt auch kein passiver Spam durch Verlinkung rein.

Jeden Kommentar manuell freischalten

Diese Einstellung bietet hohen Schutz, bedeutet aber – je nach Kommentierhäufigkeit – unter Umständen viel Arbeit.

Jede Besucherin kann so ohne Registrierung ihren Kommentar verfassen und abschicken. Veröffentlicht wird er aber nicht, sondern du musst ihn prüfen und freigeben (oder löschen). Jedes Mal.

Bei wenigen Kommentaren die Woche keine Riesenaufgaben, bei grossen Seiten oder namhaften Blogs kann das aber rasch in viele Überstunden ausarten. Ausserdem eignet sich diese Einstellung kaum bei Blogs, in denen erfahrungsgemäss rege Diskussionen entstehen, weil durch die notwendige manuelle Freigabe Zeit vergeht und alles ins Stocken gerät.

So sieht die Einstellung aus, wenn alle Kommentare manuell freigegeben werden sollen. Höchste Sicherheit, viel Arbeit.

Nur für registrierte Nutzer

Eine weitere Möglichkeit, Herr über den Spam zu werden, ist das Kommentieren nur registrierten Nutzern zu ermöglichen. Das lässt sich mit WordPress-Standardmitteln in den Einstellungen festlegen. Und kommt in der Praxis dem Deaktivieren gleich, weil sich im Normalfall so ziemlich genau niemand extra registriert, nur um einen Kommentar zu hinterlassen.

Und wenn doch, sind in deiner WordPress-Datenbank im Nu ganz viele Benutzer, die das Admin-Interface unübersichtlicher machen, ansonsten aber nichts bringen.

Die obige Abbildung zeigt die Stelle, an der man das Kommentieren nur registrierten Benutzern erlauben kann (roter Pfeil), was ich nicht empfehle.

Hingegen sehr wohl empfehlen würde ich den oberen Eintrag (grüner Pfeil). Wer seinen Senf abgeben will, soll dazu stehen und Namen und E-Mail-Adresse angeben müssen. Verhindert natürlich keinen Blödsinn, aber umgekehrt fände ich es sehr unpersönlich.

Whitelist: Guter Kompromiss

Bis jetzt war die Super-Lösung irgendwie noch nicht dabei, finde ich. Die schlechte Nachricht ist, dass es die allein mit WordPress-eigenen Mitteln gar nicht gibt. Da wird ein Plugin nötig sein, dazu aber später mehr.

Die gute Nachricht: Es gibt einen sinnvollen Kompromiss zwischen „alles moderieren“ und „alles freigeben“. Und der geht so:

Bevor ein Kommentar erscheint, muss der Autor bereits einen freigegebenen Kommentar geschrieben haben.

Was geschieht, wenn man diese Funktion anwählt?

Wenn jemand zum ersten Mal auf deinem Blog bzw. deiner WordPress-Seite kommentiert, wird der Kommentar nicht sofort veröffentlicht. Stattdessen kommt er ebenfalls in die Moderationsschleife, muss geprüft und von einem Moderator oder Admin manuell freigegeben werden.

Kommentiert die gleiche Person später aber ein weiteres Mal, wird der Kommentar ohne Verzögerung veröffentlicht.

Nach der erstmaligen Freigabe gelangt der Besucher also auf eine Art Whitelist. Wer da drauf ist, dem wird in Zukunft vertraut.

Das funktioniert, weil man in vermutlich nahezu 100 % der Fälle davon ausgehen kann, dass jemand nach einem sinnvollen Kommentar nicht plötzlich zum Spammer wird. Wobei auch das natürlich nicht ausgeschlossen ist. Ein nachträgliches Sperren bzw. Markieren als Spam ist jedoch selbstverständlich jederzeit möglich.

Massgebend für den Abgleich ist die E-Mail-Adresse. Kommt der gleiche Besucher erneut, gibt aber eine andere E-Mail-Adresse an, muss der Kommentar natürlich wieder geprüft werden.

Keine Kommentare zu alten Beiträgen

Erfahrungsgemäss werden in einem Blog neue Beiträge am stärksten diskutiert. Je älter ein Beitrag, desto seltener wird er noch von einem Besucher kommentiert.

Nicht jedoch Spammer: Deren Bots durchkämmen einen Blog und kommentieren, wo immer sie können. Das Alter des Beitrages ist ihnen meist egal.

Das lässt sich natürlich ausnützen. Deshalb bietet WordPress die Möglichkeit, die Kommentarfunktion zu schliessen, wenn ein Beitrag ein bestimmtes Alter erreicht hat. Du kannst dabei selber entscheiden, ob das schon nach 14 oder erst nach 30 Tagen sein soll.

Natürlich verhält es sich nicht auf jedem Blog gleich. Wenn du vor allem über aktuelle Ereignisse schreibst, kommen nach 30 Tagen kaum mehr Kommentare zu einem Beitrag.

Postet du jedoch Fachartikel, die eher zeitlos sind, kann es durchaus vorkommen, dass auch nach einem Jahr noch jemand zu dem Artikel gelangt und einen Kommentar hinterlassen möchte.

Da musst du selber abschätzen, wo du die Kommentare abklemmst. Ich persönlich habe auf den meisten Seiten keine Abschaltung nach x Tagen.

Aber ich habe in der Regel auch ein Antispam-Plugin im Einsatz, was sicherlich mehr Sicherheit und Flexibilität bringt. Doch in diesem Beitrag sollte es ja nur um die WordPress-eigenen Möglichkeiten gehen, die Spamflut einzuschränken.

PS: Ein guter Punkt (vielleicht der beste?) ist übrigens noch die Einschränkung nach Anzahl Links. Du findest diese Einstellmöglichkeit weit unten auf Einstellungen -> Diskussion.

Kommentare, die mehr als einen Link haben, sind mit hoher Wahrscheinlichkeit Spam. Damit gehören sie zumindest in die Moderationsschlaufe. Da kannst du sie dann immer noch von Hand freigeben, wenn sie wirklich zur Diskussion beitragen.

Optimale Ergänzung: Antispam-Plugin

Die Einstellungen, die wir nun angeschaut haben, zeigen sicherlich ihre Wirkung, haben aber zwei Nachteile.

Entweder steigt der Arbeitsaufwand für dich als Website-Betreiber oder das Kommentieren wird weniger benutzerfreundlich für deine Besucher.

Beides ist natürlich nicht ideal, mehr lässt WordPress aktuell aber nicht zu. Und so lange dein Blog wenige Kommentare pro Woche hat (Spam inklusive), ist das auch okay.

Mit steigender Bekanntheit und Kommentierfrequenz (und aufkommender Spambelastung) empfiehlt es sich, ein Antispam-Plugin zu installieren.

Dazu werde ich einen eigenen Beitrag schreiben, aber so viel schon mal vorweg: Wenn du ein Antispam-Plugin benötigst, empfehle ich dir Antispam Bee von pluginkollektiv.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.