Die im Folgenden behandelten Ereignis-Plugins werden bei Serendipity mitgeliefert und sind
standardmäßig aktiviert.
6.1.1 - Spamschutz: serendipity_event_spamblock
Spamschutz
serendipity_event_spamblock
Anti-Spam
Spamblock
Spamschutz
spamblock
Plugins!Spamschutz
Plugins!serendipity_event_spamblock
Das Plugin, das den Rekord für die höchste Anzahl von
Konfigurationsoptionen hält, ist sicherlich das Spamschutz-Plugin.
Erschrecken Sie nicht davor, sondern gehen Sie die Möglichkeiten ruhig
nacheinander durch. Die Voreinstellungen des Plugins sind für gewöhnliche
Zwecke bereits recht gut geeignet.
Spam
Anhand der Fülle verschiedener Optionen wird eines recht deutlich: Der
Kampf gegen Spam (unerwünschte Werbung) ist extrem müßig und mit viel
"Wenn" und "Aber" verbunden. Einen optimalen Schutz gegen Spam
kann Ihnen auch dieses Buch leider nicht geben, dafür ändern sich die
Techniken der Spammer zu häufig.
Akismet
Captchas
Als probates Mittel hat sich die Verwendung des Akismet-Services
erwiesen. Dieser zentrale Server führt schwarze Listen von
Kommentarspam-Fällen und kann von vielen Blogsystemen genutzt werden,
darunter Serendipity, WordPress und MoveableType. Auch die Aktivierung
von Captchas reduziert Kommentarspam sehr deutlich, bringt aber
auch Usability-Einschränkungen mit sich.
Dafür ermöglichen es Ihnen aber viele der aufgeführten Optionen, flexibel
auf neue Gegebenheiten eingehen zu können. Daher sollten Sie das
Folgende aufmerksam durchlesen, um im Bedarfsfall schnell auf Spam
reagieren zu können.
Das Spamschutz-Plugin wird jeweils aufgerufen, wenn in Ihrem Blog jemand
einen Kommentar oder ein Trackback hinterlässt. Das Plugin prüft
daraufhin, was der Benutzer übermittelt hat, und führt nacheinander
mehrere Tests aus. Sobald einer der aktivierten Tests einen Kommentar als
Spam markiert, wird der Artikel speziell vorgemerkt. Das Plugin merkt
sich daraufhin, aufgrund welcher Maßnahme ein Artikel als Spam
identifiziert wurde. Denn wie bei der Spam-Filterung bei E-Mails kann es
leicht vorkommen, dass auch gültige Nachrichten aufgrund einer
Filterregel als Spam klassifiziert worden sind. Daher ist es wichtig,
die Filter von vornherein nicht zu "scharf" einzustellen und
ab und zu die Logdateien nach falsch eingestuftem Spam durchzugehen.
Wenn ein Kommentar als Spam identizifiert ist, können zwei Dinge
geschehen: Entweder er wird komplett verworfen, oder er wird moderiert.
Moderierte Kommentare müssen erst von einem Redakteur freigeschaltet
werden. Komplett verworfene Kommentare werden erst gar nicht in der
Datenbank gespeichert, und der Redakteur wird von einem solchen Kommentar
nie etwas erfahren. Nur auf zu moderierende Kommentare wird ein
Redakteur möglicherweise per E-Mail hingewiesen (abhängig von den
Einstellungen des Redakteurs bezüglich E-Mail-Benachrichtigungen, siehe
Seite ).
Bei vielen Anti-Spam-Optionen können Sie einstellen, ob beim Zutreffen
einer einzelnen Regel die Nachricht verworfen oder moderiert werden soll.
Sobald die erste Regel zutrifft, die eine Nachricht verwirft, ist die
Ausführung des Anti-Spam-Plugins beendet. Daher ist es durchaus möglich,
dass ein Kommentar von einer Regel erst als "moderiert"
eingestuft wird, dann aber eine Folge-Filterregel den Kommentar doch
"abweist". Das Abweisen hat also Priorität vor der Moderation.
Wenn Sie einen Artikel bereits mit aktivierter Option erstellt haben, kann das
Anti-Spam-Plugin dennoch Kommentare abweisen. Ein Kommentar kann dann
jedoch niemals ohne Moderation veröffentlicht werden. Wenn Sie die Option
bei einem Artikel
deaktiviert haben, ist das Anti-Spam-Plugin für diesen Artikel
irrelevant, da sämtliche Kommentare abgewiesen werden.
Plugins!Spamschutz!Notfall-Blockade von Kommentaren
Wenn gerade eine Spam-Welle über Sie hereinbricht, können Sie diese
Option aktivieren, um im Blog keinerlei Kommentare oder Trackbacks
anzunehmen. Weitergehende Blockademaßnahmen können Sie auf Seite
nachlesen.
Empfohlene Einstellung: Nein
Plugins!Spamschutz!Spamblock für Autoren deaktivieren
Häufig können Sie den angemeldeten Autoren des Blogs vertrauen, dass sie
keine Spam-Einträge in Ihrem Blog vornehmen. Daher können Sie mit der
Einstellung dafür sorgen, dass
alle eingeloggten Redakteure bei Kommentaren von keinerlei
Anti-Spam-Maßnahmen betroffen sind (Einstellung ).
Eingeloggte Autoren sehen also keine Captcha-Grafiken und werden nicht
anderweitig von Filterungen behelligt. Wenn Sie das Auswahlfeld auf
stellen, unterscheidet das Plugin nicht zwischen anonymen
und eingeloggten Besuchern.
Ansonsten können Sie in diesem Feld gezielt Benutzergruppen auswählen.
Wenn Sie das Plugin Freie Benutzer-Registrierung benutzen, ist
dies besonders sinnvoll, um "anonyme" Redakteure dennoch von den
"echten", manuell erzeugten Redakteuren unterscheiden zu können. Achten
Sie dann einfach darauf, dass die Benutzergruppe der Redakteure, die über das
Registrierungs-Plugin hinzugefügt werden, nicht im Auswahlfeld markiert
ist.
Empfohlene Einstellung: Alle Autoren
IP-Filterung
Plugins!Spamschutz!Trackback IP Validierung
Wenn Sie von einem fremden Blog ein Trackback erhalten (siehe Seite
), dann wird dieses Trackback von einem bestimmten Server aus
gesendet. In einem Trackback selbst ist die URL des fremden Blogs enthalten.
Im üblichen Fall entspricht die IP-Adresse des Servers, der das
Trackback sendet, genau der IP-Adresse der URL, die im Trackback enthalten
ist.
Bei Spam sieht dies anders aus: Die Trackbacks werden von infizierten
Computersystemen aus verschickt, und die beworbene URL entspricht meist
der von Spam-Seiten und liegt auf einem völlig anderen Server.
Das Antispam-Plugin kann solche Trackbacks automatisch abweisen, wenn die
IPs des sendenden Servers und des beworbenen Servers nicht
übereinstimmen.
Die Aktivierung dieser Option ist sehr empfehlenswert, da es im täglichen
Einsatz de facto nicht zu einer fehlenden Übereinstimmung bei echten
Trackbacks kommen kann. Lediglich in Randfällen wie Servern, die
Trackbacks über Proxy-Server verschicken müssen, kann dies gültige
Trackbacks verwerfen. Wägt man den positiven Nutzen des Schutzes vor
ungültigem Spam dagegen ab, ist dieser Nachteil jedoch leicht zu
verschmerzen.
Empfohlene Einstellung: abweisen
Plugins!Spamschutz!Keine doppelten Kommentare erlauben
Üblicherweise sollte es in einem Blog nie dazu kommen, dass identische
Kommentare mehrfach vorkommen. Daher können Sie Kommentare sperren, die
bereits in der Datenbank vorhanden sind, wenn Sie die Option auf stellen.
Viele Spammer variieren ihre Inhalte durch zufällig erzeugte Buchstaben
und sind daher von dieser Einstellung nicht betroffen. Dennoch kann diese
Anti-Spam-Maßnahme auch helfen, doppelte profane Kommentare wie
"super!" zu unterbinden.
Empfohlene Einstellung: Ja
Plugins!Spamschutz!Kommentare abweisen, die als Text nur den Artikeltitel enthalten
Eine beliebte Form des Kommentar-Spams stellte einmal die Methode dar, bei
einem Kommentar einfach den Titel Ihrer eigenen Artikel zu übernehmen.
Anstelle eines Links zu einem fremden Artikel erhielten Spammer ihren
Nutzen dadurch, dass deren Benutzername oder Homepage auf eine fremde URL
verwies.
Wenn Sie diese Option aktivieren, werden solche Kommentare verboten.
In der freien Wildbahn treten derartige Spam-Kommentare kaum noch auf,
daher ist es empfehlenswert, die Option aus Geschwindigkeitsgründen
besser zu deaktivieren.
Empfohlene Einstellung: Nein
IP-Adresse!sperren
ipblock
Plugins!Spamschutz!IP-Block Intervall
IP
Jeder Besucher des Blogs besitzt eine eigene IP, die den Benutzer im
Internet identifiziert. Üblicherweise hat somit jeder Besucher der
Webseite eine eindeutige IP, die sich jedoch bei jeder neuen Einwahl des
Benutzers ins Internet unterscheiden wird. Mit einer so gewonnenen
IP-Adresse kann man versuchen, Kommentare von dort nach gewissen
Kriterien zu unterbinden.
Proxy
IP-Adressen sind jedoch leider keine verlässliche Maßnahme. Wenn ein
Besucher einen sogenannten Proxy [*]
benutzt,
werden seine Zugriffe über die IP-Adresse dieses Servers durchgeführt.
Der Proxy verschleiert also die wahre Identität des Besuchers. Da große
Unternehmen wie T-Online und auch AOL für ihre Benutzer zentrale
Proxy-Server benutzen, könnte man also beim Blocken einer solchen IP
nicht nur den Zugriff für eine einzelne Person verhindern, sondern für
alle Besucher, die diesen Proxy verwenden.
Kurzum, Sie sollten der IP-Adresse kein absolutes Vertrauen schenken.
Dennoch kann es helfen, Missbrauch auf gewisse Weise einzudämmen. Die
Option ermöglicht es, dass eine eindeutige IP
nur einmal einen Kommentar eintragen darf, und dann erst wieder nach Ablauf
des konfigurierten Zeitraums. Somit ist es nicht mehr möglich, mehrere
hundert Kommentare pro Sekunde abzusetzen.
In Blogs passiert es selten, dass Benutzer (auch die Benutzer eines Proxies)
im Minutentakt gewünschte Kommentare hinterlassen. Daher ist ein
Zeitraum von einer Minute hier durchaus empfehlenswert.
Die Abweisung eines Kommentars mittels dieser Option erfolgt erst bei
der Abarbeitung eines bereits übermittelten Kommentars. Das heißt, der
eigentliche Zugriff auf das Blog wird anhand dieser Option nicht
eingeschränkt.
Empfohlene Einstellung: 60.
CSRF
XSRF
Plugins!Spamschutz!CSRF-Schutz aktivieren
Die meisten Spam-Kommentare erfolgen, indem ein Spam-Roboter automatisch
Ihre URLs aufruft und einen Kommentar überträgt. Meist macht sich der
Roboter nicht die Mühe, vorher (wie ein normaler Blog-Besucher) die
eigentliche Webseite aufzurufen. Dieses Vorgehen kann man sich zur Abwehr
zunutze machen: Man speichert auf der Seite, von der aus das
Kommentarformular eingebunden wird, einen Zufallswert. Nur wenn dieser
Zufallswert gültig mit dem Kommentar vom Browser des Besuchers
übermittelt wird, kann man davon ausgehen, dass ein menschlicher Besucher
auch vorher den Artikel aufgerufen hat und dass nicht einfach etwas automatisiert
übertragen wird.
Die Aktivierung dieser Option hat leider einen gravierenden Nachteil.
Denn damit der eingegebene Zufallswert auf dem Server zur Prüfung
zwischengespeichert werden kann, muss eine Session (siehe Terminologie,
Seite ) für den Besucher angelegt werden. Eine Session
ist jedoch von Serendipity nur nutzbar, wenn der Browser des Besuchers Cookies annimmt
(siehe Hinweis Seite ).
Weiterhin bringt diese Option einen Schutz vor
CSRF [*]
. Dies führt zu Angriffen, bei denen ein böswilliger Benutzer
Sie dazu bringen könnte, ungewollt Kommentare zu verfassen oder sogar
freizuschalten.
Empfohlene Einstellung: Ja.
Plugins!Spamschutz!Captchas aktivieren
Captchas
Captchas (siehe Seite ) sind kleine Grafiken mit schwer
zu lesenden Zeichenkombinationen. Damit ein Besucher einen Kommentar
schreiben darf, muss er die dargestellten Zeichen in eine Box abtippen,
um sich dem System gegenüber als "Mensch" auszuweisen.
Captcha-Grafiken müssen eine gewisse Komplexität aufweisen, damit sie
tatsächlich nicht von Computern überlistet werden können. Dies kann dazu
führen, dass es auch den Besuchern immer schwerer fällt, die Captchas
zu entziffern. Dennoch bietet diese Maßnahme eine der effektivsten
Möglichkeiten, automatisierten Spam zu unterbinden.
Mit der Option können Sie die Komplexität der
Grafiken noch weiter erhöhen, indem weitere Zufallsmuster eingefügt
werden. Diese Option ist mehr für den "Spam der Zukunft" vorgesehen
und sollte derzeit glücklicherweise noch nicht erforderlich sein.
gdlib
Um Captchas anzeigen zu können, sollte Ihr Server die PHP gdlib
anbieten. Andernfalls werden die Zeichenfolgen mit Grafikdateien
zusammengebaut, was von Spam-Robotern um einiges einfacher zu umgehen
ist. Damit Ihre Besucher Captchas ausfüllen können, müssen sie
in ihrem Browser Cookies annehmen. Wie Sie die Captcha-Grafiken anpassen
können, ist auf Seite ausgeführt.
Empfohlene Einstellung: Ja.
Plugins!Spamschutz!Captchas nach wie vielen Tagen erzwingen
Da Captchas gerade für sehbehinderte Menschen große Probleme schaffen,
möchte man diese Grafiken so selten wie möglich erforderlich machen.
Da Spammer mit Vorliebe alte Artikel in Ihrem Blog als Ziel nehmen (da
diese Artikel bei Suchmaschinen bereits besser vertreten sind), sind
häufig neue Artikel des Blogs nicht betroffen.
Dies können Sie ausnutzen, indem Sie Captchas nur dann einblenden, wenn
ein Artikel ein gewisses Alter erreicht hat. Das Mindestalter tragen Sie
in Tagen ein. Wenn Sie 0 eintragen, werden Captchas auch bei
aktuellen Artikeln direkt eingebunden.
Empfohlene Einstellung: 14.
Plugins!Spamschutz!Hintergrundfarbe des Captchas
Die Captcha-Grafik wird unterhalb des Eingabeformulars für einen Kommentar
eingebunden. Je nach Design Ihres Blogs möchten Sie die Hintergrundfarbe
dieser automatisch erzeugten Grafiken sicher anpassen. Daher können Sie bei
dieser Option eine Farbe im RGB-Format eintragen. Drei Zahlen repräsentieren hier,
von einem Komma voneinander getrennt, den Farbwert von Rot, Grün und Blau.
Wer sich an die Farbenlehre erinnern kann, weiß, dass man mit diesen drei
Primärfarben jede andere vom Monitor darstellbare Farbe abbilden kann. Um
diese Farbwerte leicht herauszufinden, können Sie kleine Tools wie etwa den Colorpicker [*]
benutzen.
Empfohlene Einstellung: 255,255,255 (Weiß)
Plugins!Spamschutz!Kommentarmoderation nach wievielen Tagen erzwingen
Bei besonders alten Artikeln ist es sehr selten, dass Besucher noch
gewünschte Kommentare hinterlassen. Blogs sind meistens so tagesaktuell,
dass ältere Artikel schnell an "Kommentarwert" verlieren. Dies können
Sie also ausnutzen, um Kommentare zu alten Artikeln von vornherein
auszusortieren.
Wenn Sie hier die Zahl 0
eintragen, wird diese Möglichkeit der
automatischen Moderation deaktiviert. Eine Zahl wie 60
bewirkt,
dass Artikel älter als zwei Monate nicht ohne Ihre Zustimmung kommentiert
werden können.
Empfohlene Einstellung: 60
Plugins!Spamschutz!Was soll mit auto-moderierten Kommentaren passieren
Üblicherweise werden Kommentare zu Artikeln, die Sie mit der Option
gefiltert
haben, in der Datenbank gespeichert, aber nicht freigeschaltet.
Über die Option können Sie mit solchen Kommentaren auch noch härter verfahren
und Kommentare vollständig .
Empfohlene Einstellung:
Plugins!Spamschutz!Trackbackmoderation nach wievielen Tagen erzwingen
Ähnlich der Einstellung für Kommentare können auch Trackbacks nach einem
gewissen Zeitraum automatisch moderiert werden.
Empfohlene Einstellung: 60
Plugins!Spamschutz!Was soll mit auto-moderierten Trackbacks passieren
Ähnlich der Einstellung für Kommentare können die durch automatische
Moderation erfassten Trackbacks entweder moderiert oder verworfen werden.
Empfohlene Einstellung: moderieren
Plugins!Spamschutz!Behandlung von per API übermittelten Kommentaren
Es gibt bei Serendipity grundsätzlich zwei Möglichkeiten, als Benutzer
eine Mitteilung zu einem Blog-Artikel zu hinterlassen. Zum einen sind das
Kommentare, die direkt im Blog eingetragen werden. Hierbei ist also eine
Interaktion des Benutzers notwendig, Captchas und andere Anti-Spam-Maßnahmen
können in den Prozess eingebunden werden.
Anders ist dies bei Trackbacks. Derartige "Kommentare" werden von einem
automatischen System verschickt und empfangen, daher können dort keine
Captchas zwischengeschaltet werden. Solche automatische Methoden
bezeichnet man daher als API (siehe Terminologie auf Seite ).
Sie können derartige Kommentare, die immer von Computern übermittelt
werden, gezielt behandeln: Entweder werden solche Kommentare
, oder sie müssen von Ihnen werden.
Wenn Sie automatisch übermittelte Kommentare gleichrangig wie via
Formular eingetragene Kommentare behandeln wollen, können Sie die Option
wählen.
Da das Aktivieren der automatischen Moderation meist eine große E-Mail-Flut von
Benachrichtigungen mit sich bringt und man gültige von ungültigen Trackbacks
schwer trennen kann, macht eine pauschale Moderation von Trackbacks selten
Sinn. Nur wenn Sie auf Trackbacks vollständig verzichten wollen, sollten Sie die
Option auf stellen.
Empfohlene Einstellung: keine
Plugins!Spamschutz!Trackback URLS@Trackback-URLS prüfen
Der Sinn eines Trackbacks ist, dass ein fremdes Blog Sie darauf hinweisen
kann, dass es sich auf einen Ihrer Artikel bezieht. Daher muss ein
Trackback immer die URL des fremden Blogs enthalten, auf dem sich jemand
zu Ihrem Artikel äußert.
Bei Spam ist das meistens nicht der Fall - die URL, die das Trackback
bewirbt, enthält meistens nur besondere Angebote zum preiswerten Bezug
von Viagra oder tolle Vorschläge, wie man reich werden kann. Für die
Spammer wäre es ein hoher Aufwand, sich dort tatsächlich auf Ihren
Blog-Artikel zu beziehen.
Diese Nachlässigkeit der Spammer können Sie ausnutzen und mit der Option
einstellen, ob alle Trackback-URLs daraufhin
geprüft werden sollen, ob sie die URL Ihres Artikels enthalten.
Traffic
Die Aktivierung dieser Option birgt jedoch zwei Gefahren: Wenn ein
Spammer eine ungültige URL oder eine URL mit besonders
vielen Daten hinterlässt, dann wird Ihr Webserver diese Seite gnadenlos trotzdem
aufrufen und viel Traffic verursachen. Da die URL-Prüfung ausgeführt
wird, während das Trackback gespeichert wird, kann dies die Dauer der
Prüfung sehr in die Länge ziehen und Ihren Server stark auslasten.
Zusätzlich darf bei der Aktivierung dieser Option der Webserver nicht von
einer Firewall blockiert werden, damit fremde URLs überhaupt aufgerufen
werden können.
Die zweite Gefahr ist, dass Sie möglicherweise Trackbacks abweisen, die
eigentlich gültig wären. Manche Blogsysteme senden ein Trackback an Ihr
Blog nämlich bereits, bevor der eigene Artikel veröffentlicht wurde. Das
Blogsystem würde also erst dann seinen Artikel mit dem Link zu Ihnen
online stellen, wenn das Trackback an Sie abgearbeitet wurde. Da Sie aber
bereits bei der Annahme des Trackbacks die Existenz der fremden URL
voraussetzen, würde das Trackback fehlschlagen.
Empfohlene Einstellung: Nein
Plugins!Spamschutz!Erforderliche Anzahl an Links für Moderation
Viele Spammer nennen in ihren Kommentaren einfach zahlreiche Links und
hoffen, dass Ihre Besucher diese Links anklicken. Es ist
üblicherweise ungewöhnlich, dass Kommentatoren Ihrer Artikel dutzende von
Links an Sie schicken, daher können Sie in diesem Optionsfeld eine Anzahl
von Links angeben, bei deren Erreichen ein Kommentar automatisch
moderiert werden soll.
Empfohlene Einstellung: 7
Plugins!Spamschutz!Erforderliche Anzahl an Links für Abweisung
Die Anzahl der erforderlichen Links im oberen Eingabefeld dient nur der
Moderation eines Kommentars. Wenn Sie ab einer gewissen Anzahl von Links
aber einen Kommentar direkt abweisen wollen, können Sie dies im Feld
eintragen.
Empfohlene Einstellung: 13
Wortfilter
Blacklist
Wortfilter
Plugins!Spamschutz!Wortfilter aktivieren
In den folgenden großen Eingabefeldern können Sie Zeichenketten
eintragen. Sobald eine dieser Zeichenketten in einem Kommentar vorkommt
("Blacklisting"), kann ein Kommentar speziell behandelt werden.
Wie diese Behandlung ausfallen soll, stellen Sie über die Option
ein. Ob Sie diese auf
oder
stellen, hängt davon ab, wie "scharf" Sie Ihre
Wortfilter einstellen. Wenn Sie beispielsweise das Wort arsch
filtern, dann ist das erstmal ein guter Gedanke. Vielleicht denken Sie
aber nicht daran, dass ja diese Zeichenkette auch bei dem Wort
"marschieren" vorkommen könnte und in diesem Fall keineswegs
filterungswürdig wäre. Hätten Sie den Wortfilter hier auf
gestellt, wäre ein Kommentar mit diesem Wort vollständig verloren, und
der Besucher wundert sich womöglich, warum sein Kommentar nicht
angenommen wurde.
Daher ist es ganz wichtig, dass Sie die folgenden Wortfilter so eng
wie möglich fassen, um gültige Buchstabenkonstellationen nicht auch zu
verhindern. Für obiges Beispiel wäre daher der Einsatz von
" arsch "
(ohne Quotes!) eher
zu empfehlen. Durch die zusätzlichen Leerzeichen würde der Filter nur
noch dann aktiv werden, wenn das Wort isoliert vorkommt.
Empfohlene Einstellung: abweisen
Plugins!Spamschutz!Wortfilter für URLs, Autorennamen, Inhalt und E-Mail-Adressen
Auf jedes Feld, das ein Kommentator ausfüllt, können Sie einen
Wortfilter anwenden.
Die zu filternden Wörter müssen mit dem Semikolon (;
) getrennt
werden. Wenn Sie am Zeilenende angelangt sind, können Sie vor oder nach
diesem Semikolon auch gerne einen Zeilenumbruch (Return)-Taste
zur besseren Lesbarkeit einfügen.
Jedes eingetragene Wort wird dabei einzeln auf das Vorhandensein im
Kommentar geprüft. Trifft eines der Wörter zu, wird der Kommentar
entsprechend der Wortfilter-Einstellung entweder moderiert oder
abgewiesen.
Reguläre Ausdrücke
regexp Sämtliche Wortfilter werden als "reguläre
Ausdrücke" [*]
interpretiert. Dies ist eine spezielle Syntax, in der Sie auch
Platzhalter verwenden können. Reguläre Ausdrücke sind ein Thema
für sich, aber hier ein Beispiel für einen Wortfilter-Ausdruck:
\@[^\s]+\.jp\s
Dieser Ausdruck würde einen Kommentar dann sperren, wenn jemand eine
E-Mail-Adresse angibt, die zu einer japanischen Domain führt. Ein Kommentar wie
"Mail me at [email protected]" würde also blockiert werden.
Escaping
Aufgrund des Einsatzes von regulären Ausdrücken gibt es bei den
Wortfiltern Besonderheiten für Zeichen, die bei regulären Ausdrücken
besonders genutzt werden. Solche Zeichen muss man, wenn sie im Wort
vorkommen sollen, escapen. Dazu stellt man einfach den Backslash
(\) vor eines der folgenden Sonderzeichen:
@ [ ] ( ) { } . ? * ^ $ | + -
Wenn Sie also die große Flexibilität von regulären Ausdrücken nicht
nutzen wollen, können Sie die Wortfilter auch ganz einfach als
Wortliste verwenden. Einzig beim Auftreten eines Sonderzeichens müssen
Sie daran denken, den Backslash voranzustellen.
Fehler!bei der Kommentarabgabe
Wenn Sie ungültige reguläre Ausdrücke eingeben, kann dies zu PHP-Fehlermeldungen bei der
Kommentarabgabe führen oder sogar dazu, dass keinerlei Kommentare mehr
gespeichert werden können. In diesem Fall sollten Sie versuchen, alle
Wortfilter zu löschen. Wenn es danach wieder klappt, können Sie nach und
nach die ursprünglichen Zeichenketten wieder einfügen und so
herausfinden, welche Regel falsch war.
Empfohlene Einstellung: Keine Empfehlung möglich
Plugins!Spamschutz!URL-Filterung anhand der blogg.de Blacklist aktivieren
Der Blog-Provider blogg.de
hat in der Vergangenheit eine Liste von URLs
geführt, die von Spammern benutzt wurden. Serendipity kann einen
Kommentar mit dieser schwarzen Liste abgleichen und bei einem Treffer
nach Wunsch oder .
Aufgrund des hohen Pflegeaufwands ist die Blacklist dieses Providers
seit längerer Zeit nicht mehr aktiv, daher ist die Aktivierung dieser
Option zum jetzigen Zeitpunkt zwecklos. Möglicherweise wird die Blacklist
irgendwann wieder aktiviert, daher wird diese Option weiterhin angeboten.
Empfohlene Einstellung: keine
Akismet
Akismet
Plugins!Spamschutz!Akismet API Key
Akismet ist ein zentraler Web-Service, der eine Schnittstelle für
Blogsysteme wie WordPress, Serendipity und MoveableType anbietet. Ein
Kommentar wird vollständig an den Service übermittelt, der Service
überprüft den Kommentar und sieht nach, ob er Spam-Kriterien aufweist.
Da sehr viele Systeme Spam an diesen Service melden und die Datenbank
bereits sehr groß ist und aktiv gepflegt wird, kann Akismet relativ
verlässlich entscheiden, ob ein Kommentar Spam darstellt oder nicht.
Wenn Sie den Akismet-Dienst benutzen wollen, benötigen Sie einen
sogenannten API-Key, den Sie mit der Anmeldung [*]
erhalten. Sie müssen ihn dann im
Spamschutz-Plugin im Konfigurationsfeld eintragen.
Die Abfrage des Akismet-Servers kann nur klappen, wenn Ihr Webserver
nicht von einer Firewall am Verbindungsaufbau gehindert wird.
Beachten Sie bei der Benutzung von Akismet, dass es auch hier zu
falsch erkanntem Spam kommen kann und dass in besonders geschützten
Intranet-Blogs Kommentare so an einen zentralen Server übertragen werden,
über den Sie keine Kontrolle haben. Blogs, bei denen Sie schützenswerte
Inhalte hinterlegen, sollten Sie daher nicht mit Akismet betreiben.
Empfohlene Einstellung: Akismet-Schlüssel beantragen!
Plugins!Spamschutz!Behandlung von Akismet-Spam
Mit dieser Option legen Sie fest, wie von Akismet erkannter Spam
behandelt werden soll. Sie können derartigen Spam entweder
oder .
Der große Komfort von Akismet und die relativ geringe Fehlerquote
ermöglichen es, diese Option auf einzustellen. So
erhalten Sie wirklich nur noch Moderationshinweise von Kommentaren, bei
denen die Einstufung als Spam aufgrund anderer Spamschutz-Kriterien nicht
eindeutig war.
Empfohlene Einstellung: abweisen
E-Mail-Adresse!verstecken
Plugins!Spamschutz!E-Mail-Adressen bei Kommentatoren verstecken
Wird ein Kommentar bei einem Blog-Artikel angezeigt, sehen Sie auch
die Informationen zu demjenigen, der den Kommentar verfasst hat. Dabei
kann (je nach Template) auch die E-Mail-Adresse angezeigt werden, die
wiederum Spam-Roboter in Ihrem Blog sammeln könnten, um den
Kommentatoren mit Werbenachrichten zu belästigen.
Um dies zu verhindern, können Sie die E-Mail-Adresse Ihrer Besucher mit der
Option stets
ausblenden, bzw. automatisch mit der Dummy-Adresse [email protected]
ersetzen.
Als Administrator können Sie die echte E-Mail-Adresse nach wie vor in der
Backend-Kommentar-Oberfläche einsehen.
Empfohlene Einstellung: Ja
Plugins!Spamschutz!auf ungültige E-Mail-Adressen prüfen
Grundsätzlich ist es möglich, dass Kommentatoren in Ihrem Blog eine ungültige E-Mail-Adresse eintragen. Gerade
Spammer können dies benutzen, um statt einer E-Mail-Adresse einfach eine
Homepage zu übertragen.
Das Spamschutz-Plugin kann dies in gewissem Maße einschränken und eine
(grobe) Prüfung durchführen, ob eine E-Mail-Adresse ein gültiges Muster
besitzt (also [email protected]
).
Wenn Sie diese Option aktivieren, kann Serendipity jedoch nicht prüfen,
ob die E-Mail-Adresse auch tatsächlich existiert. Fantasie-Adressen mit
gültigem Muster können also so nicht abgefangen werden.
Empfohlene Einstellung: Ja
Plugins!Spamschutz!Pflichtfelder
Wenn ein Kommentator die Formularfelder ausfüllt, um einen Kommentar zu
hinterlassen, gibt es eine Reihe von optionalen Feldern. Serendipity
lässt Kommentare zu, bei denen lediglich der Kommentartext ausgefüllt
wird und ansonsten alle Angaben anonym sind.
Wenn Sie dies verhindern wollen, können Sie Pflichtfelder im
Kommentarformular definieren. Alle Pflichtfelder tragen Sie dabei in dem
Eingabefeld ein. Folgende Felder stehen zur Verfügung: (Name
des Kommentators), (E-Mail-Adresse), (Homepage),
(Kommentartext). Ein weiteres Feld ist , das
angibt, auf welchen vorausgehenden Kommentar sich ein Benutzer bezieht.
Dieses Feld als Pflichtfeld zu bestimmen macht meistens keinen Sinn, weil
man einen Besucher dadurch zwingt, sich auf einen existierenden Kommentar
zu beziehen.
Wenn Sie Pflichtfelder definieren, müssen Sie Ihre Besucher auch darüber
in Kenntnis setzen. Schlagen Sie dazu im Kapitel commenttemplates auf
Seite nach, wie Sie Anpassungen am Kommentarformular
vornehmen können.
Empfohlene Einstellung: comment
[email protected]
Plugins!Spamschutz!Block bad IPs via HTaccess?
Eine sehr experimentelle Option stellt
dar. Innerhalb einer .htaccess
-Datei können Sie bei
Apache-Webservern Regeln definieren, um Besucher mit einer bestimmten
IP-Adresse abzulehnen.
Diese Besucher können dann das gesamte Blog nicht mehr aufrufen und
belasten dabei glücklicherweise auch das System nur noch minimal - denn
Serendipity kommt selbst gar nicht mehr zum Zuge, um den Aufruf dieses
Besuchers zu bearbeiten, da der Webserver ihn bereits zuvor abgewiesen
hat.
Derartige Verbote können mittels des Befehls Deny From
IP-Adresse
vorgenommen werden. Dieses Kommando stellt eine
Blacklist von ein oder mehreren IP-Adressen dar und könnte auch manuell
in der .htaccess
-Datei eingestellt werden.
Das Spamschutz-Plugin ermöglicht jedoch eine interessantere Art der
Einbindung. Jedesmal, wenn beim Prüfen eines Kommentars dieser
abgewiesen wird, merkt sich das Spamblock-Plugin die IP der Person, die
diesen Kommentar hinterlassen hat. So entsteht eine Liste, mit der
man herausfinden kann, von welchen IPs in letzter Zeit Spam geschickt
wurde. Sobald dieser Tabelle eine IP hinzugefügt wird, aktualisiert das
Plugin die .htaccess
-Datei und sperrt den Zugriff für alle IPs, die
in den letzten zwei Tagen dort eingetragen worden sind.
Daher kann ein Besucher mit einer "verdächtigen" IP-Adresse frühestens nach zwei
Tagen erneut probieren, einen Kommentar zu hinterlassen.
Der große Vorteil dieser Sperrungsart ist, dass Spammern so schnell die
Server-Ressourcen entzogen werden können. Die Nachteile sind jedoch, dass
zum einen nur Apache-Webserver mit dieser Option arbeiten können und man
zum anderen möglicherweise einen zu großen Benutzerkreis blockiert (siehe
Anmerkungen zur Option auf Seite
). Benutzen Sie die Option daher nur, wenn Sie wissen,
was sie bewirkt.
Empfohlene Einstellung: Nein
Wartung!Logfiles
Plugins!Spamschutz!Protokollierung von fehlgeschlagenen Kommentaren
Wenn ein Kommentar oder Trackback moderiert oder abgewiesen
wird, bemerken Sie dies als Redakteur möglicherweise gar nicht. Daher
ermöglicht das Spamschutz-Plugin, solche Meldungen entweder in der
Datenbank oder in einer Datei zu speichern.
Dieses Protokoll können Sie dann von Zeit zu Zeit prüfen, um
herauszufinden, ob Ihre Anti-Spam-Einstellungen in der Gesamtheit noch
Wirkung haben.
Wenn Sie das Protokoll in einer speichern, müssen
Sie einen Speicherplatz angeben. Sie können diese Datei dann von Zeit zu
Zeit herunterladen und auf dem Server wieder löschen, damit sie
nicht zu groß wird.
Datenbank-Tabellen!serendipity_spamblocklog
Für die Auswertung von Protokollen ist die Speicherung in einer sicher
empfehlenswerter. Die Datenbanktabelle serendipity_spamblocklog
können Sie
mit einem Programm wie phpMyAdmin komfortabel ansehen und nach bestimmten
Kriterien filtern. Fortgeschrittene Benutzer können die Datenbanktabelle nutzen,
um sich kleine Scripte zu schreiben, die täglich oder wöchentlich Statusberichte
per E-Mail verschicken oder auch im Blog anzeigen. Auch diese Datenbanktabelle
sollten Sie von Zeit zu Zeit leeren, um nicht zu viele alte Daten vorzuhalten.
Plugins!Spamschutz!Speicherplatz für das Logfile
Wenn Sie die Protokollierung in eine einfache Datei aktiviert haben,
müssen Sie hier den vollständigen Dateisystem-Pfad auf dem Server
eintragen, wo das Logfile gespeichert werden soll. Der Webserver muss
Schreibrechte zu diesem Verzeichnis haben, daher können Sie zB. auch Ihr
uploads
-Verzeichnis dafür verwenden.
Unterhalb der Konfigurationsoptionen bindet das Plugin noch eine kleine
Vorschaugrafik der Captchas ein. Dort können Sie sehen, wie ein Captcha
für einen Besucher aussieht, und gegebenenfalls Änderungen der
Hintergrundfarbe vornehmen.
Captcha-anpassen
Captchas!Grafiken anpassen
gdlib
Die Art der Captcha-Grafiken richtet sich danach, ob Ihr Webserver
das PHP-Modul gdlib unterstützt. Ohne gdlib gibt das
Spamblock-Plugin PNG-Grafiken im Verzeichnis
plugins/serendipity_event_spamblock
direkt aus. Für jeden
Buchstaben gibt es eine eigene captcha_zeichen.png
-Datei,
die Sie mit einem Bildbearbeitungsprogramm anpassen können.
Schriftarten
TTF
Wenn gdlib vorhanden ist, gilt:
Die verwendeten Schriftarten der Captchas können Sie nur mit
etwas Aufwand verändern. Das Plugin kann mit beliebigen TTF-Schriftdateien, wie
sie Windows mitliefert, umgehen. Diese Dateien liegen im Verzeichnis
plugins/serendipity_event_spamblock
und sind standardmäßig auf
die vier Schriftarten Vera, VeraSE, Chumbly und 36daysago beschränkt. Das
Auswahlkriterium der Schriftarten war, dass diese möglichst nicht
maschinenlesbar sein sollen. Wenn Sie lieber eine eigene, besser lesbare
Schriftart benutzen wollen, können Sie die vorhandenen TTF-Dateien
mit anderen ersetzen und müssen dabei die Dateien lediglich umbenennen.
Das Plugin wählt zufällig eine der vier verfügbaren Schriftarten aus.
Wenn Sie mehr als vier Schriftdateien benutzen wollen, müssen Sie die
Plugin-Datei
plugins/serendipity_event_spamblock/serendipity_event_spamblock.php
öffnen und bearbeiten. Suchen Sie nach der Zeile
$fontfiles = array('Vera.ttf', 'VeraSe.ttf', 'chumbly.ttf', '36daysago.ttf');
Dort müssen Sie (jeweils in Anführungszeichen) den Namen der Schriftdatei
kommasepariert eintragen.
Etwas oberhalb dieser Codezeile findet sich auch die Angabe, wie groß die
Captcha-Grafik ist:
$width = 120;
$height = 40;
Mit den beiden Zahlen 120
(Breite) und 40
(Höhe) können
Sie die Bildgröße anpassen.
Die Schriftgröße müssen Sie über eine weitere Variable anpassen, die
ebenfalls in der Nähe der obigen Stellen erscheint:
$size = mt_rand(15, 21);
Diese Zeile bewirkt, dass das Plugin zufällig eine Schriftgröße zwischen
15 und 21 für jeden einzelnen Buchstaben benutzt. Sie können diese beiden
Zahlen auf den gewünschten Wert erhöhen (zB. 21 und 26), um größere
Schriften anzuzeigen.
Das Plugin verzichtet bei der Ausgabe der Schriften auf einige Zeichen,
die häufig missverständlich aussehen. Die Zahlen 1, 5, 6 und 8 sowie die
Buchstaben I, O und S werden daher ausgelassen. Wenn Sie weitere
Buchstaben ausschließen wollen, können Sie auch diese in der
Spamschutz-Datei ändern. Suchen Sie dafür folgende Code-Stelle und passen
Sie sie an: