wordpress kommentar spam loswerden …

es gibt viele möglichkeiten dem spam in einem wordpress weblog herr zu werden … unzählige plugins geben einem die möglichkeit alles erdenkliche gegen trackback- und kommentarspam zu unternehmen.
jedoch bietet genau diese fülle an möglichkeiten auch schon wieder ein stolperfalle. fast niemand macht sich um server performance gedanken, warum auch sitzt er doch auf einem shared hosting system und der betreiber wird schon dicke kisten laufen haben die auch jeden noch so irrsinnigen query machen, oder die ressourcen haben um unzählige php berechnungen vorzunehmen. beliebt sind auch div. überprüfungen bei externen diensten. akismet hier nur als beispiel genannt.

das alles benötigt rechenzeit, die bei einem kleineren blog mit wenigen besuchern und einem durchschnittlichem spamaufkommen nicht weiter ins gewicht fallen. dann aber kommen die 15 minuten ruhm … oder die eigene schreibe ist so interessant geworden das wirklich immer mehr menschen täglich vorbei kommen. mehr besucher bedeutet auch mehr bots/scripte die den spamabliefern wollen.

viele wundern sich dann über unproportional steigende systemlast, oder das ihr hoster einfach den account sperrt wegen überlastung oder aber der server einen 500er fehler liefert. je nach eingesetztem antispam plugin macht evtl. auch die datenbank die grätsche.

schau ich mir an, was ein robert basic über seine plugins schreibt, was er einsetzt denke ich an eine ziemlich fette kiste die das stemmt … schau ich mir dann die server an welche ich betreue auf denen andere blogs¹ laufen und deren pluginlisten wundere ich mich nicht mehr um den ressourcen hunger der webseiten, gerade wenn sie wieder im mittelpunkt einer spamattacke stehen.

mein vorgehen um ein blog ressourcen sparend vor spam zu schützen würde auch bei grösseren installation derzeit aus genau drei plugins bestehen, die natürlich beliebig ausgetauscht werden könnten, wenn es bessere alternativen gibt.

als frontline wäre da js-antispam, es hat ganz einfach den vorteil das es nur zum einsatz kommt wenn ein user kein javascript aktiviert hat. erst dann wird es nötig das ein wort aus einer selbst definierten wordliste zum validieren eingegeben wird. hier finde ich liegt der grosse vorteil, die oft im einsatz befindlichen mathe plugins haben den nachteil (meiner ansicht nach) das sie einfach durch brute-force geknackt werden könnten.

warum mehr spam durchkommen lassen, wenn der kommentar schon vor verarbeitung in der datenbank und mit php eliminiert werden kann. das bedeutet einfach weniger serverlast und ist nur für wenige user wirklich unangenehm, weil sie ein wort zur validierung eingeben müssen.

als zweites steht in der frontline simple trackback validation welches wesentlich komfortabler gegen trackback spam hilft als js-antispam. selbst bei sehr restriktiver einstellung kommt es hier kaum zu false postiv … meist aber auch nur weil man es so gewünscht hat.

alles was dann durchkommt kann meiner ansicht nacht einemal den akismet bestehen und durchkommen. sicherlich ist nicht jedem dabei wohl, aber eigentlich würde akismet nicht mal benötigt werden, es dient nur dem eigenen guten gefühl.

warum nicht spamkarma? zwar ist spamkarma die eierlegende wollmilchsau, oder kommt dieser schon sehr nahe, aber das hat seinen preis. und der heißt ressourcen bzw. rechenzeit. es ging ja um optimierten spamschutz …

werbung für die drei plugins? nein ich glaube nicht das sie dies nötig hätten … aber viele blogger vergessen einfach auch ein wenig an die benötigten ressourcen für ihre webseite zu denken … als bestes beispiel fällt mir hier semmelsatz ein. zwar liefert das plugin nette statistiken, wird aber zur tickenden zeitbombe wenn sich die datenbank füllt und/oder viele benutzer auf die webseite zugreifen.

vielleicht fängt ja der ein oder andere blogger an etwas nachzudenken bevor er anfängt wieder über seinen hoster zu schimpfen.

sorry keine beispiele, auf nachfrage aber per mail die ein oder andere url … [↩]

Tags: 15 minuten ruhm, hosting system

Dieser Artikel wurde am 15. August 2007 (Mittwoch) um 17:07 Uhr geschriebenund ist abgelegt unter alles. Kommentare zu diesem Artikel können über den RSS 2.0 Feed abonniert werden. Du kannst einen Kommentar hinterlassen, oder von Deiner Webseite hierher verweisen.

23 Kommentare zu “wordpress kommentar spam loswerden …”

redunzl Says:
15. August 2007 um 18:31 Uhr
Tickende Zeitbombe? Mann, denk’ mal über deine Wortwahl nach, Kumpel. semmelstatz hat immerhin alle Möglichkeiten, auf die Größe der Statistik-Tabelle Einfluß zu nehmen. Wer die nicht nutzt, ist ein Tor. Tickende Zeitbombe. Was für ein Käse…
“vielleicht fängt ja der ein oder andere blogger an etwas nachzudenken…”

Antworten
jd Says:
15. August 2007 um 23:04 Uhr
sorry wenn ich dir als entwickler damit auf die füsse getreten bin, aber ich habe als admin einer shared hosting plattform die erfahrung gemacht das semmelsatz der killer war. es geht nicht nur um die datenbank und datenbank grösse sondern auch um die laufzeit von php und die benötigten ressourcen.

ich behaupte die meisten blog betreiber wollen und werden sich um sowas keine gedanken machen, ressourcen sind ja da und können verballert werden.

wenn ich die zeit finde, werde ich dir per mail erklären was ich meine und die passenden beispiele liefern. vielleicht kann das ganze dann ja ressourcen schonender ablaufen.

Antworten
Knut Says:
16. August 2007 um 11:42 Uhr
@Jan: Du sprichst mir aus der Seele. Ist manchmal schon Krass was WordPress und einige Plugins an Ressourcen schlucken.

Vielleicht sollte ich auch mal “aufräumen”.

Antworten
Zfen Says:
17. August 2007 um 20:12 Uhr
Semmelstatz habe ich schon ewig nicht mehr im Einsatz. Kurz bevor du einen Pack vorübergehend geschlossen hast, wurde auch meine Seite sehr langsam.

Es gibt doch Awstats. Das braucht keine Datenbank und liefert absolut gute Ergebnisse. Für was soll ich mir da noch den knappen Speicherplatz zumüllen. (:hust)

Antworten
Knut Says:
17. August 2007 um 20:17 Uhr
Semmelstats sind schon cooler als awstats.
Ich generiere awstats nur zweimal am Tag (statisch). Semmelstats geht halt on the fly.

Antworten
Conny Says:
19. August 2007 um 12:02 Uhr
Ab welcher Besuchergröße wird Semmelstatz denn promblematisch? Bisher habe ich noch keine Probleme damit, ich lösche aber auch monatlich die Statistik.

Antworten
jd Says:
19. August 2007 um 13:53 Uhr
es ist meiner erfahrung nicht unbedingt die grösse der datenbank, jedenfalls nicht nur.

problematisch wurde eher die php-script laufzeit. ich muss noch einmal genau die statistiken der entsprechenden seiten anschauen und die systemauslastungen und dann kann ich vielleicht eine zahl nennen. nur wenn dich dein hoster anspricht, das die systemauslastung durch deine seite zu hoch ist, deaktivere semmelsatz.

Antworten
jd Says:
19. August 2007 um 13:55 Uhr
knut und zfen, semmelsatz bietet halt andere tiefere statistiken als eine logfile auswertung wie z.B. awstats. jeder muss für sich selbst wissen was er erfahren möchte … ich selbst schaue nur so einmal im monat in die statistiken … für andere ist es vielleicht die morgenlektüre …

Antworten
Zfen Says:
19. August 2007 um 14:02 Uhr
Ich schrieb ja auch nicht, dass Semmelstatz keine Berechtigung hat. Die Auswertungen sind wirklich gut. Aber wozu soll ich mir die Datenbank zumüllen und ständig löschen wenn sie mir zu voll wird, wenn es andere, ausreichende Lösungen gibt.

Antworten
Knut Says:
19. August 2007 um 14:55 Uhr
@jd: Du hast endgültig überzeugt.

Antworten
Henning Says:
21. August 2007 um 13:39 Uhr
Ich hab auch semmelstatz laufen und zwar seit nem guten Jahr (ohne Löschung der alten Daten). Ich weiß, dafür ist es nicht gedacht, aber ich will meine Historie nicht verlieren. Was bringt mir eine Top 10 der meistgelesenen Einträge, wenn ich nur einen kleinen Zeitraum betrachte?!

Ich hoffe, dass jemand ein Zusatzplugin für semmelstatz schreibt, dass alte Daten, die nicht mehr auf Besucher- bzw. Seitenaufrufebene benötigt werden, aggregiert speichert (z.B. Anzahl der Abrufe eines Beitrags, Besucherzahlen eines bestimmten Tages usw.).

Und so lange freue ich mich tagtäglich über die schönen semmelstatz-Statistiken und ärgere mich über die Serverlast.

Aber deine Anti-Spam-Methoden werde ich auch mal probieren. Hab derzeit so 300-500 Spam-Kommentare pro Tag. Da kann diese JavaScript-Methode schon viel Serverlast reduzieren.

Antworten
Neue Anti-Spam-Maßnahme » henningschuerig.de/blog Says:
21. August 2007 um 23:02 Uhr
[...] diesem Artikel (danke für den Hinweis, Jenny!) habe ich einen Hinweis auf dieses Plugin gefunden. JS-AntiSpam [...]

Antworten
jd Says:
23. August 2007 um 11:31 Uhr
naja, wie gesagt viele machen sich kaum gedanken um die serverlast.

Antworten
Marcus Says:
24. Dezember 2007 um 06:57 Uhr
Mir geht dieser Kommentar-Spam auch auf den Ticker. Am Tag sind es bestimmt bald 50 und mehr. Captcha bringt nichts, komplett zu deaktivieren auch nichts, Trackbacks sind auch aus.

Ich denke, nur das Umbenennen der wp-comments-post.php bringt etwas, damit die Botnetze ins leere laufen

Antworten
jd Says:
24. Dezember 2007 um 12:57 Uhr
@marcus, das bedeutet aber auch das du immer wieder bei einem update von hand gewisse routinen umschreiben musst … ob sich das wirklich lohnt?

bei mir helfen diese drei plugins in kombination immer noch sehr gut. geerade vielleicht auch weil ich beim js-antispam bewußt viele komische wörter genommen habe …

Antworten
Henning Says:
25. Dezember 2007 um 04:08 Uhr
JS-AntiSpam ist geradezu ein Wundermittel. Da kommen eigentlich nur noch ein paar Trackbacks durch bzw. landen im Akismet. Bin von 50-200 auf 0-5 Spams pro Tag runter.

Antworten
Henning Says:
25. Dezember 2007 um 04:09 Uhr
Oh, waren wohl doch früher mehr. Hab gerade meinen alten Kommentar da oben gesehen. Man verdrängt das offenbar schnell.

Antworten
Marcus Says:
25. Dezember 2007 um 08:32 Uhr
@jd

Du brauchst ja nur in der Theme-Vorlage für die Kommentare den Namen der Datei ändern. Aber ich stelle fest, es bringt auch nicht viel.

Wie kann dieses dämliche Duo php und WordPress Kommentare annehmen, obwohl ich (testweise) Koemmentare ausgesetzt habe, Trackbacks und pings ausgeschaltet habe, User-Registrierung auch, die Datei umbenannt habe.

Den unterschiedlichen IPs nach ist das bei mir ein richtiges Spam-Bot-Netz.

Antworten
jd Says:
27. Dezember 2007 um 09:21 Uhr
Marcus ich vermute das die Spam Kommentare über die XML-RPC Schnittstelle von WordPress eingekippt werden. Genau wie 90% vom Trackback Spam. Vor allem können alle Daten gefälscht werden!

Darum habe ich oben genannte kombo bei mir im Einsatz.

Im Akismet landen noch so zwei Trackbacks und ein Kommentar in der Woche. Wobei es augenscheinlich auch sehr viel gebracht hat das die Links zu den Kommentaren und Trackbacks bei mir mittels Javascript verarbeitet werden.

Das kann ich als weiteren Tip geben.

Antworten
Marcus Says:
27. Dezember 2007 um 19:01 Uhr
Ja, das könnte gut sein.

Akismet bringt ja nichts, wenn ich die Kommentare schon moderiere. Es saugt auch verdammt viel Speicher auf dem Server. Deswegen ist es bei mir aus.

Ich habe heute wieder Simple Trackback Validation aktiviert und auf strikt eingestellt. Mal schauen, ob das was bringt.

Im Moment bekomme ich nur SPAM-Kommentare zu:
x a n g a. com/BUY_VALIUM_ONLINE
n e x i u m -info . xforum. se
x a n g a . com/MORTGAGE_REFINANCING_Online
…
Einfach nur Müll!

Antworten
Marcus Says:
28. Dezember 2007 um 15:59 Uhr
So. Das Plugin “Simple Trackback Validation” sorgt jetzt für Ruhe.!

Antworten
jd Says:
28. Dezember 2007 um 16:58 Uhr
mmh ich denke bei akismet kommt es immer drauf an wieviel du ihm zu fressen gibst.

deswegen ja meine überlegung erstmal eine erste hürde einzubauen die mit sehr wenigen ressourcen auskommt.

aber schön wenn du jetzt ruhe hast!

Antworten
jd Says:
4. Januar 2008 um 13:26 Uhr
ich habe noch ein nettes Plugin gefunden.

no-autocomments ich werde das mal in den nächsten tagen testen, aber der ansatz gefällt mir sehr gut, und es ist auch wieder ohne den einsatz von vielen server ressourcen zu bewerkstelligen.

Antworten

Hinterlasse einen Kommentar

das hier geschriebene wort, ist die private meinung des autors. es handelt sich um erlebtes, erfahrenes, gelerntes oder gefährliches halbwissen. hat aber niemals den anspruch in irgendeiner art und weise etwas anderes zu sein, als das was der autor auch in einem persönlichen gespräch erzählen würde.

der autor
andere hier!
- jd bei opsa … wg wir kommen
- tw bei opsa … wg wir kommen
- jd bei wordpress: memcached als booster
- Knut bei wordpress: memcached als booster
- jd bei peter urban
- George Kowalski bei peter urban
- Markus bei monitorständer – ikeahack – diy
- jd bei anziehbar: last exit to no where
- Nico bei anziehbar: last exit to no where
- Tobias bei is missing final newline

[ jalogisch]