Seit guten 40 Tagen habe ich hier im Blog das Anti-Spam-Plugin „Yawasp“ (www.svenkubiak.de) von Sven Kubiak im Einsatz – und ich muss sagen: Vielen Dank, ich bin begeistert! Das Grundprinzip ist ebenso einfach wie offensichtlich erfolgreich:
Das Plugin generiert für die Namen der Formularfelder des Kommentarformulars zufällige Werte, und merkt sich dabei, welches Feld, welchen Wert bekommt. Wird das Kommentarformular aufgerufen, werden die Werte den Feldern zugewiesen und erst beim Absenden erfolgt die Rückübersetzung, so dass WordPress den Kommentar verarbeiten kann.
Zusätzlich wird ein leeres Feld – unsichtbar für den Benutzer – eingefügt, dass die gleichen Merkmale wie ein sichtbares aufweist. Füllt ein Spambot dieses Feld aus, oder sendet die ursprünglichen Namen der Formularfelder, wird der Kommentar nicht gespeichert.
Zusätzlich ändert das Plugin die zufälligen Werte alle 24 Stunden, so dass sich kein Spambot an das Kommentarformular anpassen kann.
Die Konsequenz: Seit dem Einsatz des Plugins hatte ich exakt 0 (in Worten: „null“) automatisierte Spam-Kommentare zu verzeichnen. Der interne Zähler des Plugins hingegen zählt aktuell fast 2.000 verhinderte Spam-Versuche, davon rund ein Sechstel Kommentare, bei denen durch einen Spambot das „unsichtbare“ Feld ausgefüllt wurde.
Interessant ist auch die Kurve der Spam-Versuche, die einen Rückgang von anfangs rund 60 Versuchen / Tag auf mittlerweile knapp 20 Versuche / Tag aufweist. Hier kann ich allerdings nicht nachvollziehen, ob wirklich ein „Lernprozess“ bei den Spambots eingesetzt hat (würde ich grundsätzlich aber eher bezweifeln) oder ob die „Spitzen“ einfach durch mehrere Spam-Versuche des gleichen Bots entstanden sind. Hier aber nun die Grafik:
Seit den ersten Schritten im April 2008 (siehe auch www.svenkubiak.de[2]) hat sich Yawasp (steht übrigens für „Yet Another WordPress Anti Spam Plugin“) stetig weiterentwickelt. Mittlerweile ist z.B. auch die automatische Anpassung des Kommentar-Bereichs durch das Plugin realisiert – da war wohl anfangs noch Handarbeit angesagt 😉
Wie sieht es aber nun mit meinen bisher eingesetzten bzw. getesteten Anti-Spam-Tools bzw. WordPress-Plugins aus? „Spam Karma“ wird leider nicht weiterentwickelt und ist auch ziemlich ressourcenhungrig. „Math Comment Spam Protection“ scheint leider zunehmend von Spammern „geknackt“ zu werden. Und „Akismet“ habe ich eigentlich noch nie richtig getraut, sondern nur als zusätzliche „Petzmöglichkeit“ für hartnäckige Spammer genutzt.
Alles in allem hat daher Yawasp beste Chancen, zusammen mit dem Plugin „Simple Trackback Validation“ (sw-guide.de) von Michael Wöhrer, mein Hauptwerkzeug gegen den automatisierten Spam zu werden. Die anderen Plugins habe ich heute morgen jedenfalls erstmal deaktiviert. Und für den Rest bleibt halt weiterhin nur das manuelle Löschen …
(u.a. via blog.helmschrott.de)