WordPress-Spam-Kommentare stoppen

Lesezeit ca. 7 Minuten
von

Gerade in einem neuen Projekt wieder bemerkt. Die ersten zwei Beiträge wurden veröffentlicht und schon landen die ersten Spam-Kommentare im Postfach. Grundsätzlich ein „positives“ Zeichen, denn die Website wird nun gefunden. Allerdings nicht unbedingt in der wünschenswerten Art.

Verwende zur Spambekämpfung zunächst die internen WordPress-Einstellungen!

Deine Sprungmarken Bitte Anzeigen

1. WordPress-eigene Einstellungen nutzen

Bevor wir ein externes Plugin installieren, prüfen wir die in WordPress integrierten Funktionen zur Kommentar-Moderation und passen diese eventuell an.

Kommentare zur Überprüfung zurückhalten: Im WordPress-Dashboard Einstellungen > Diskussion. Hier wird festgelegt, dass Kommentare manuell genehmigt werden müssen.

  • Bevor ein Kommentar erscheint, muss der Kommentar manuell freigegeben werden“: Das Kästchen sollte unbedingt aktiviert werden. So hast du die Kontrolle, aber auch mehr Arbeit. Da ich Kommentare für wichtig erachte und eine Diskussion gewinnbringend ist, hilft dir die Kontrolle bei der weiteren Prüfung.
  • Bevor ein Kommentar erscheint, muss der Autor bereits einen genehmigten Kommentar geschrieben haben“: Eine gute Balance. Der erste Kommentar eines Nutzers wird geprüft, alle weiteren werden automatisch freigeschaltet.

Nur ein paar Pixel weiter unten, kannst du innerhalb der Kommentar-Moderation Bedingungen angeben und eine Schwarze Liste pflegen:

Kommentar-Moderation: Hält Kommentare zurück, die eine bestimmte Anzahl von Links enthalten (Spam enthält oft viele Links). Ein guter Wert ist 1 oder 2.

Wenn ein Kommentar eines der folgenden Wörter innerhalb von Inhalt, Autornamen, URL, E-Mail-Adresse, IP-Adresse oder User-Agent-Zeichenkette des Browsers enthält, wird er in der Moderations-Warteschlange gehalten. Ein Wort oder eine IP-Adresse per Zeile. Wortteile werden auch berücksichtigt, also wird durch „press“ auch „WordPress“ gefiltert.

WordPress in der Version 6.8.2

Verbotene Kommentarwörter: Hier solltest du typische Spam-Schlüsselwörter (z.B. „viagra“, „cialis“, Namen bekannter Spam-Bots) oder IP-Adressen eintragen. Kommentare, die diese Wörter enthalten, werden direkt in den Papierkorb verschoben. Insbesondere, wenn du bereits die erste Spam-Flut hinter dir hast, solltest du einige Begriffe kennen.

„Wortteile werden auch berücksichtigt, also wird durch „press“ auch „WordPress“ gefiltert“, wodurch du den Filter spärlich einsetzen solltest.

Wichtige Tipps zur Pflege der Sperrliste:

  • Ein Wort pro Zeile: Jedes Wort oder jede Phrase muss in einer eigenen Zeile stehen.
  • Keine Groß-/Kleinschreibung: WordPress berücksichtigt die Groß- und Kleinschreibung nicht. Viagra funktioniert also genauso wie viagra.
  • Wortbestandteile: Die Sperrliste funktioniert auch bei Wortbestandteilen. Wenn du casino sperrst, wird auch ein Kommentar mit „onlinecasino“ gefunden.
  • Regelmäßig erweitern: Schau gelegentlich in Ihren Spam-Ordner. Wenn du neue Muster oder wiederkehrende Wörter entdeckst, die vom Spam-Plugin nicht erwischt wurden, füge diese manuell zur Sperrliste hinzu.
  • Nicht übertreiben: Eine zu aggressive Liste kann auch legitime Kommentare blockieren. Beginn daher mit den offensichtlichsten Begriffen und erweitere die Liste bei Bedarf.

Hier ist eine Liste typischer Wörter und Muster, die in einer Sperrliste für deutsche und internationale Spam-Kommentare nicht fehlen sollten.

Kategorien und empfohlene Einträge

Es ist sinnvoll, die Liste nach Themen zu sortieren. Ein Wort pro Zeile.

1. Pharma & Gesundheit (Klassiker)

Diese Kategorie ist für den meisten Spam verantwortlich.

cialis
viagra
levitra
pharma
pharmacy
phentermine
tramadol
xanax
hydrocodone
vicodin
diet pills
weight loss
acne treatment

2. Glücksspiel & Wetten

casino
slots
poker
blackjack
roulette
gambling
betting
online-casino
spielautomaten
wettanbieter

3. Finanz-Spam & Schnelles Geld

loan
loans
mortgage
credit
forex
binary options
get rich quick
make money fast
work from home
investment
schnell reich werden
kredit
darlehen

4. Erotik & nicht jugendfreie Inhalte

porn
sex
xxx
adult
escort
nude
naked
hot girls

5. Produktfälschungen & Luxusgüter-Spam

rolex
replica
louis vuitton
gucci
chanel
ugg boots
ray-ban
sunglasses
handbags
luxury

6. Technische & SEO-Spam-Begriffe

Spammer versuchen oft, Backlinks für ihre eigenen Seiten zu generieren.

buy backlinks
SEO service
cheap seo
free traffic
increase website traffic

7. Generische Spam-Ausdrücke & HTML

Oft werden auch bestimmte HTML-Tags missbraucht, um Links oder schädliche Inhalte zu verstecken.

[url=
[/url]
<a href=
.ru
.cn
.xyz
-online
free
download
click here

Kommentare für ältere Beiträge schließen

Spam-Bots zielen oft auf ältere, etablierte Beiträge ab. Das lässt sich mit einer Einstellung verhindern. WordPress kann Kommentare für Beiträge, die älter als eine bestimmte Anzahl von Tagen sind, automatisch schließen. Ich mag diese Option nicht, denn sie verhindert auch die Kommunikation.

  • Aktiviere das Kästchen bei „Kommentare zu Beiträgen automatisch schließen, die älter sind als [z.B. 60] Tage“.

2. Anti-Spam-Plugins installieren

Wenn unsere erste Art der Bekämpfung nicht ausreichend funktioniert, müssen wir mit unterschiedlichen Plugins dagegensteuern. Sie filtern Kommentare automatisch, ohne dass du viel einstellen musst.

  • Antispam Bee: Eine sehr beliebte, kostenlose und datenschutzfreundliche (DSGVO-konforme) Option. Es kommt ohne Captchas aus und blockiert Spam im Hintergrund. Es bietet viele Einstellungsmöglichkeiten, wie z. B. das Blockieren von Kommentaren aus bestimmten Ländern.
  • Akismet Anti-Spam: Oftmals vorinstalliert. Akismet ist sehr effektiv, erfordert aber einen API-Schlüssel. Für private Blogs und Websites ist es kostenlos, für kommerzielle Seiten fallen Gebühren an. Es gleicht Kommentare mit einer globalen Spam-Datenbank ab.
  • WordPress Zero Spam: Ein weiteres einfaches und effektives Plugin, das serverseitige und clientseitige JavaScript-Validierung nutzt, um Spam-Bots ohne Captcha zu blockieren.
  • WP Armour – Honeypot Anti Spam: Das Plugin wehrt Spam effektiv ab, indem es eine für Menschen unsichtbare Falle für Bots einsetzt. Schon Antispam Bee nutzt diese Techniken.

Honeypots müssen bei Kontaktformularen quasi standardmäßig verwendet werden, daher halte ich diese Honigtöpfe für sehr effektiv. Insbesondere, weil sie den realen Nutzer kaum beeinflussen.

Die Technik ist genial einfach:

  1. Verstecktes Feld: Dem Kommentarformular wird ein zusätzliches, für Menschen unsichtbares Feld hinzugefügt. Dieses wird in der Regel mit CSS oder JavaScript versteckt, sodass menschliche Besucher es gar nicht erst sehen können.
  2. Dumme Bots: Die meisten Spam-Bots sind simple Skripte. Sie scannen den Code einer Webseite und füllen automatisch alle Formularfelder aus, die sie finden können – also auch das versteckte „Honigtopf“-Feld.
  3. Die Falle schnappt zu: Wenn ein Kommentar abgesendet wird, prüft das System, ob das unsichtbare Feld ausgefüllt wurde.
    • Feld ist leer: Super! Das war ein Mensch. Der Kommentar wird normal verarbeitet.
    • Feld ist ausgefüllt: Eindeutig ein Bot! Der Kommentar wird sofort als Spam markiert oder direkt gelöscht, ohne dass er dich oder deine Datenbank erreicht.

Vor- und Nachteile der Honeypots

Benutzerfreundlichkeit: Der größte Vorteil ist, dass deine echten Besucher nichts davon mitbekommen. Es gibt keine nervigen Rätsel (wie bei CAPTCHAs), keine Kästchen, die angeklickt werden müssen, und keine Beeinträchtigung des Nutzererlebnisses.

Effektivität: Honeypots sind erstaunlich wirksam gegen die große Masse an automatisiertem Spam.

Datenschutz: Im Gegensatz zu Diensten wie reCAPTCHA werden keine Nutzerdaten an Drittanbieter (wie Google) gesendet.

Smarte Bots: Sehr fortschrittliche Bots erkennen die versteckten Felder und ignorieren diese. Kommt in der Praxis aber selten vor.

Kein 100%iger Schutz: Ein Honeypot schützt nur vor automatisierten Bots. Er ist wirkungslos gegen Menschen, die manuell Spam-Kommentare eintragen (sogenannter „Human Spam“).

3. CAPTCHA oder reCAPTCHA einfügen

CAPTCHAs sind kleine Rätsel, die sicherstellen sollen, dass ein Mensch und kein Bot das Formular ausfüllt. Innerhalb von Formularen würde ich diese spärlich einsetzen, da sie die Kontaktaufnahme negativ beeinflussen. Dies kann auch bei Kommentaren passieren, allerdings schätze ich hier das Mitteilungsbedürfnis noch etwas höher ein.

  • hCaptcha: Eine datenschutzfreundliche Alternative zu Google reCAPTCHA, die ebenfalls über Plugins integriert werden kann.
  • Google reCAPTCHA: Die bekannteste Methode, für die es ebenfalls einzelne Plugins gibt. Version 3 ist besonders nutzerfreundlich, da sie im Hintergrund läuft und nur bei verdächtigen Aktivitäten eine Prüfung anzeigt.
EigenschaftGoogle reCAPTCHAhCaptcha
DatenschutzSammelt Nutzerdaten für Google-DiensteFokus auf Privatsphäre, keine Speicherung persönlicher Daten
GeschäftsmodellKostenlos, „Bezahlung“ durch NutzerdatenFreemium-Modell; Unternehmen zahlen für die Aufgaben
VergütungKeineWebseitenbetreiber können Geld verdienen
HauptzweckSchutz vor Bots & Training von Google KISchutz vor Bots & Datenklassifizierung für Firmen

4. Schutz auf Server-Ebene (Fortgeschritten)

Für einen noch robusteren Schutz können serverseitige Maßnahmen ergriffen.

  • Web Application Firewall (WAF): Dienste wie Cloudflare, MalCare, Wordfence Security, Jetpack (in der Basisversion kostenlos) oder Sucuri bieten eine WAF, die bösartige Anfragen und bekannte Spam-Bots blockiert, noch bevor sie dein WordPress-Seite erreichen. Schützen darüberhinaus aber auch gegen andere Angriffe, wie DDoS-Attacken.

Dieser erweiterte Schutz wird allerdings manchmal mit veränderten Bedingungen beim Datenschutz erkauft. Darauf solltest du unbedingt achten.

Die IP-Adressen müssen dir vorher bekannt sein, wodurch der Schutz meist erst im Nachhinein oder während eines Angriffes sinnvoll funktioniert.

Zusammenfassende Handlungsempfehlung:

Mit diesen Schritten sollte dein Spam-Problem schnell und nachhaltig erledigt sein.

  1. Sofortmaßnahme: Aktiviere unter Einstellungen > Diskussion die Option, dass Kommentare manuell genehmigt werden müssen. So stoppst du die aktuelle Flut.
  2. Plugin installieren: Installiere und aktiviere Antispam Bee. Konfiguriere es nach deinen Wünschen. Das allein löst oft schon 99 % des Problems.
  3. Zusätzlicher Schutz: Wenn du weiterhin Spam erhältst, integriere CAPTCHA-Versionen in dein Kommentarformular.
  4. Konfiguriere deinen Server: Mittels „Server-Firewalls“ oder zumindest über einigen Einstellungen in der .htaccess.
  5. Aufräumen: Nutze die „Massenbearbeitung“ in der Kommentarübersicht, um alle vorhandenen Spamkommentare schnell in den Papierkorb zu verschieben.

Du hast es trotz Anleitung nicht hinbekommen, deine WordPress Website schimpft weiterhin mit dir und bereitet dir Probleme bei diesem Thema? Kontaktiere uns gern und wir helfen dir im 1:1 direkt mit deinen Fragen weiter. Telefonisch, per Bildschirmübertragung oder per Mail, du hast die Wahl.

Solltest du mal nicht weiterkommen und dein WordPress macht schlicht nicht was du möchtest? Hierfür kannst du neben den Infos aus unseren Beiträgen auch direkten Kontakt mit uns aufnehmen. Schreibe uns einfach dein Anliegen oder beschreibe Problem und wir schauen gemeinsam drüber und finden eine Lösung für dich. Sobald wir deine Angaben haben, schätzen wir vorher grob den Aufwand ab und vereinbaren dann einen Termin mit dir, in welchem wir telefonisch oder live mit Bildschirmübertragung auf deine Fragen eingehen werden. Support per Mail ist natürlich auch möglich.

Probiere es gerne aus, wir freuen uns auf deine Anfrage.



    Erkunde weitere Beiträge

    CSS: WordPress Galerie-Block in Masonry-Stil

    1 Gedanke zu „WordPress-Spam-Kommentare stoppen“

    1. Wow! Beiträge zu Spam-Maßnahmen gibt es viele, aber die Liste der Worte zum blacklisten direkt im WordPress sieht super aus und passt in vielen Teilen zu meinem Spamaufkommen. Ich werde das gleich mal testen. Schonmal vielen Dank!

      Antworten

    Schreibe einen Kommentar