Spam-Probleme in WordPress: So schützt du deine Seite
Im Jahre 2003 kam WordPress als reines Blog-System heraus und hatte in kurzer Zeit eine große Nutzeranzahl. Die Software wurde von Matt Mullenweg und Mike Little ins Leben gerufen. Anfangs nur ein reines Blog-System. Als man die ersten richtigen Webseiten mit Unterseiten erstellen konnte, erlebte es einen Zuspruch, den man nur bei wenigen Systemen erlebt hat. Inzwischen bildet das ganze unter Automattic vertriebene System ein eigenes Ökosystem.
Es geht vom einfachen Blog (nach wie vor) bis hin zu sehr komplexen Webseiten mit Shop (WooCommerce) über CRM und was man nicht alles aktivieren kann über das ebenfalls von Automattic vertriebene Jetpack. Es reicht vom Kleinunternehmer bis hin zu großen Firmen.
Aber was ist daraus geworden?
In erster Linie ein wirklich brauchbares System, das durch die zahlreichen Plugins nahezu unendlich erweitert werden kann in seinen Funktionen. Es gibt kaum etwas, was es nicht gibt, um sein Vorhaben umzusetzen. Die Auswahl an Themes ist unübersichtlich groß geworden, sodass es wirklich nicht einfach ist, das richtige zu finden. Aber das ist nur die eine Seite der Medaille, nämlich die schöne. Und bekanntlich hat eine Medaille immer zwei Seiten. Und die zweite ist dann immer die hässliche.
Sicherheit?
Die Sicherheit von WordPress ist nach der Installation nahezu Null. Es werden Kontaktformulare und Kommentarfunktionen genutzt, um den Betreiber einer WordPress Seite mit Spam zu überhäufen, bis es nicht mehr geht. Ein reCAPTCHA reicht da heutzutage schon nicht mehr aus. Man hat keine andere Wahl als sich damit zu befassen, das System zu verriegeln. Und selbst dann ist man keinesfalls sicher vor diesen lästigen Spammern, die ja heute auch keine natürlichen Personen mehr sind.
Das alles kostet vor allem viel Zeit und unter bestimmten Bedingungen auch Geld. Installieren und los Bloggen ist nicht. Vorher heißt es sicher machen, abschotten und das am besten noch bevor man die Seite für andere Zugänglich macht. Man hat auch die Verantwortung gegenüber seinen Nutzern. Vor allem dann, wenn man registrierte User hat, muss man dafür sorgen, dass diese Daten auch geschützt sind.
Es gibt zahlreiche Plugins für diese Aufgabe. Allerdings ist es schwer, das wirklich richtige zu finden. Ich betreibe und betreue seit einer halben Ewigkeit WordPress Seiten und habe da so meine Favoriten, die sich als gut herausgestellt haben.
Wer bereit ist, Geld auszugeben, kann die Sicherheitsfunktion von Jetpack nutzen. Nicht nur, dass es auf das System ausgerichtet ist, es arbeitet wirklich sehr wirkungsvoll und kann viel vom System fernhalten. Da die Bösen ja aber auch nicht nur schlafen, ist auch das nicht 100% sicher, aber es hilft wirklich enorm.
Was hilft wirklich?
Ich habe vor ein paar Jahren das Plugin Clean Talk für mich entdeckt. Ich muss wirklich sagen, dass ich seitdem Ruhe habe. Es kommt so wenig durch, dass ich es schon eher als Zufall bezeichnen würde. Ich brauche keine Captcha oder Zahlenkombinationen an meinen Formularen oder Kommentarfeldern mehr, wie man das teilweise immer noch sieht. Diese sind schon lange kein zuverlässiger Schatz mehr.
Was mir mitunter sehr gut gefällt ist, dass man in den Protokollen sehen kann, welche Arten von Angriffen geblockt wurden. Hier kann man erkennen, dass am meisten versucht wird, sich zu registrieren. Gefolgt von den permanenten Versuchen, das Kontaktformular zu nutzen, um Spam zu versenden und die Kommentarfunktion ist auch ein sehr beliebtes Ziel.
Die Firewall fängt alles ab was in irgend einer Art und weiße Spam darstellt. Und das sehr zuverlässig. Das hat kein reCAPTCHA 3 so sauber hin bekommen. Nicht nur das so alles sauber bleibt, es wird auch kein User genervt mit irgendwelchen reCAPTCHA Bildfeldern die man er anklicken muss. Das erhöht extrem die Benutzerfreundlichkeit.
Hier kann man sehen was die eigenetlichen Spamangriffe sind. Man sieht was angegriffen wurde, IP Adresse und Herkunftsland. Unter „Details“ kann man dann noch mehr Informationen sehen. Etwa wie oft über diese IP Adresse schon ein Angriffe gestartet wurde, seit wann sie bekannt ist und auf der Black List steht. Ähnliche Infos erhält man auch bei den Versuchen Spam Nachrichten über ein Kontaktformular zu senden.
Sicher gibt es auch andere Tools dieser Art. Die ich aber wahrscheinlich nicht kennen. Ich würde jedem Clean Talk empfehlen. Aber das ist meine ganz persönliche Einstellung dazu. Das System ist geschützt. Das Design wird nicht verschandelt durch irgendwelche reCAPTCHA’s an jeder Stelle wo man etwas ausfüllen könnte und der User ist nicht gezwungen ständig irgendwo zu beweisen das er ein Mensch ist und keine Maschine. 🙂
Fazit:
Man sollte nicht vergessen das WordPress allein, nichts anderes ist als eine Plattform für eine Webseite, Blog oder einen Shop. Alles was man braucht, muss man händisch nach installieren und konfigurieren über Plugins. Dazu gehören in allererster Linie Plugins gegen Spam und dergleichen. Macht man das nicht, hat man in kürzester Zeit unzählige Fake User registriert, und Spamnachrichten in Hülle und Fülle.
Das macht die Datenbank dick und schwer und das ganze System schwerfällig. Auch wenn ein Fake User immer erst nur die Rolle des Abonnenten hat, sollte man sie so schnell wie möglich löschen. Wen die Bots einmal Erfolg hatten einen User an zu legen, dann besteht immer die Gefahr das noch ganz andere Angriffe gestartet werden.
Ich hoffe der Beitrag hilft dem einen oder anderen weiter. Wenn ihr andere Empfehlenswerte Plugins für den Schutz Eurer Seite benutzt, schreibt es in die bitte Kommentare. 😉
Über den Autor
Entdecke mehr von LP-Art by Lutz Peter
Melde dich für ein Abonnement an, um die neuesten Beiträge per E-Mail zu erhalten.
