Simple Trackback Disabler: Trackback-Spam auf WordPress-Blogs unterbinden

Das WordPress-Plugin Simple Trackback Disabler hilft, Spam zu bekämpfen.
Das WordPress-Plugin Simple Trackback Disabler hilft, Spam zu bekämpfen.

Dank Trackbacks bzw. Pingbacks sehen Autoren und Leser eines Blog-Artikels, welche anderen Blogs auf diesen Artikel verlinken. Das verlinkende Blog schickt dem verlinkten Blog ein Signal, und letzteres publiziert automatisch einen Backlink unterhalb des Artikels. Eine sinnvolle Erfindung also – wenn sie nicht immer öfter von Spammern missbraucht würde.

WordPress bietet unter Einstellungen > Diskussion die Möglichkeit, die automatische Publikation solcher Backlinks zu deaktivieren. Die Option Erlaube Link-Benachrichtigungen von anderen Weblogs (Pingbacks und Trackbacks) bezieht sich allerdings nur auf zukünftige Blog-Beiträge; bereits publizierte Artikel behalten Ihre ursprüngliche Einstellung und lassen also Trackbacks weiterhin zu. Gerät ein Blog mit einigen hundert Beiträgen ins Visier von Trackback-Spammern, dann kann das zu einem echten Problem werden, denn schliesslich möchte man nicht bei jedem einzelnen Beitrag die Trackbacks manuell deaktivieren.

Weiterlesen …

Kommentar-Spam in WordPress Blogs verhindern

Steigende Besucherzahlen können auch ein Indikator für Kommentar-Spam sein.

Wenn ein Blog plötzlich stark steigende Besucherzahlen verzeichnet, dann kann das viele Gründe haben. Vielleicht wurde die Publikationstätigkeit markant gesteigert, vielleicht hat man einen Backlink von einer populären Plattform erhalten, vielleicht hat sich ein Artikel via Social Media viral verbreitet, oder vielleicht hat man eine Kampagne geschaltet, um den Traffic anzukurbeln. Auf jeden Fall empfiehlt es sich, die Zugriffsstatistik genauer zu analysieren, denn es ist nicht unwahrscheinlich, dass die zusätzlichen Besuche von Spammern stammen, welche das Blog mit Kommentaren vollmüllen.

In meinem Fall korrelierten die steigenden Besucherzahlen leider ziemlich eindeutig mit zunehmendem Kommentar-Spam, der so gut gemacht war, dass Akismet ihn nicht ausfiltern konnte. So hatte ich auf meinem WordPress Blog ziemlich schnell viele nette Kommentare, die meine Arbeit lobten, naive Fragen stellten oder auf andere interessante Blogs verwiesen. Anfangs waren sie mehrheitlich in einer Fremdsprache verfasst und dadurch leicht zu durchschauen, aber mit der Zeit wechselten die Spammer auf Deutsch, und auch die Kommentarinhalte wurden immer raffinierter. Schon bald sah ich mich gezwungen, alle Kommentare zu moderieren statt wie bisher automatisch freischalten zu lassen.

Dass Sie heute wieder unmoderiert auf Open Mind kommentieren können, verdanken Sie dem WordPress Plug-in Cookies for Comments. Dieses hilft,  menschliche Kommentare von Spam-Bot-Kommentaren zu unterscheiden, indem es jedem Blog-Besucher ein Cookie setzt. Fehlt das Cookie – weil der Spam-Bot den Kommentar direkt absetzt – dann wird der Kommentar als Spam behandelt. Ein zweiter Mechanismus hilft, auch menschliche Spammers zu erkennen: Wenn ein Kommentar bereits wenige Sekunden nach dem Seitenaufruf abgesetzt wird, dann ist es sehr wahrscheinlich, dass der Artikel gar nicht gelesen wurde und der Kommentar somit Spam darstellt. Das Zeitlimit kann übrigens in den Plug-in-Einstellungen selbst gesetzt werden.

Grundausstattung: Plug-ins für WordPress

image

  • SlimStat (vgl. Bild) – Sehr übersichtliche und trotzdem detaillierte Zugriffsstatistik im Backend. Plug and Play. Unverzichtbar. Alternativen: WordPress.com Stats.
  • Spam Karma – Spammer gehören zu den ersten und regelmässigsten Besuchern eines Blogs. Ein Schutzmechanismus gegen Kommentar-Spam ist deshalb zwingend. Spam Karma hat sich bei mir seit Jahren bewährt, so dass ich Akismet (Plug-in im Lieferumfang von WordPress) nie genutzt habe.
  • Google Sitemap Generator – Erzeugt eine XML Sitemap (“Google Sitemap”) und unterstützt dadurch die Indexierung des Blogs durch die Suchmaschinen von Google, Yahoo und Microsoft.
  • Subscribe to Comments – Bietet Kommentatoren die Möglichkeit, sich bei weiteren Kommentaren auf denselben Artikel per E-Mail benachrichtigen zu lassen. Zwingend, wenn man ein Blog als Diskussionsplattform versteht.
  • Snap Shots Plug-in – Bindet grafische Previews für alle Links auf Basis des Dienstes von snap.com ein. Optisch sehr attraktiv und zugleich sehr nützlich, da es manchen überflüssigen Klick erspart.
  • cforms – Leistungsfähiger Formulargenerator, mit dem man weit mehr als nur ein Kontaktformular bereitstellen kann (vgl. cforms: Formulargenerator für WordPress).
  • WordPress Mobile Edition – Macht ein Blog auch für Mobile Devices (Handy, SmartPhone, PDA) verfügbar, indem es die Seiten in einem geeigneten Format rendert.
  • Random File – Erlaubt es, eine zufällig ausgewählte Datei aus einem vorgegebenen Verzeichnis einzubinden. Ideal, um wechselnde Bilder oder Texte anzuzeigen.
  • Maintenance Mode – Wenn Wartungsarbeiten anstehen, kann man dank diesem Plug-in den geordneten Rückzug antreten: Auf Kopfdruck sehen nur noch eingeloggte Administratoren das Frontend, während normale Besucher eine Meldung erhalten, dass Wartungarbeiten im Gange sind.
  • WPvideo – Vereinfacht das Einbinden von YouTube-Videos in einen Blog-Artikel.
  • Event Calendar – Ermöglicht es, Blog-Artikel als Events zu kennzeichnen, mit Datum und Zeit zu versehen und dann in einem Kalender auflisten zu lassen. Wird auch für den Event-Kalender auf Open Mind eingsetzt.
  • O42 Clean Umlauts – Plug-in, das den unsauberen Umgang von WordPress mit Sonderzeichen wie z.B. deutschen Umlauten in Perma-Links kompensiert. Scheint allerdings mit WordPress 2.2. nicht mehr zu funktionieren.

Security Release 4.0.5 für TYPO3

Formulare, die mit dem Formulargenerator von TYPO3 erstellt wurden, können unter Umständen zum Versenden von Spam-Mails missbraucht werden. Dies hat das Entwickler-Team im neusten TYPO3 Security Bulletin bekanntgegeben. Von dieser Sicherheitslücke, die unter dem Namen E-Mail Header Injection oder E-Mail Injection bekannt ist, sind sämtliche bisherigen TYPO3-Versionen betroffen, also sowohl die stabilen Versionen 3.x und 4.x (bis 4.0.4) sowie die bisherigen Beta-Versionen 4.1. Abhilfe schafft ein Update auf die Version 4.0.5, die ab sofort heruntergeladen werden kann.

css.php