Das Örtchen RSS-Feed
Kategorie
Kategorie: Blog
Buttons & Statistiken
Neueste Kommentare

Drupal: Der Rand des Tellers endet nicht bei CAPTCHAs

Schon seit Beginn dieses Blogs kämpfe ich mit dem Zwiespalt geringe Kommentaranzahl vs. Spamvermeidung. Bisher habe ich immer auf Mathe-CAPTCHAs gesetzt und hierdurch vermutlich mehr als 1.900 Spam-Einträge vermieden, hatte jedoch auch immer mal wieder Probleme (zuletzt Anfang 2010). Wirklich glücklich war ich damit nie und suchte deswegen nach Alternativen.

Das Problem

In letzter Zeit bekam ich trotz CAPTCHAs sehr viele englische Kommentare mit massivem Link-Spam im eigentlichen Kommentar-Bereich. Diese sollen zukünftig gar nicht mehr in meiner Moderations-Warteschlange landen, sondern direkt an der Formular-Validierung scheitern. Außerdem möchte ich meine Besucher nicht mehr mit einem weiteren auszufüllenden Formularfeld belästigen, wie es bei CAPTCHAs der Fall ist. Trotzdem soll automatisierter Kommentar-SPAM so weit wie möglich verhindert werden.

Die Lösung

Dies sind gleich drei Wünsche auf einmal, was bekanntlich nur mit einem gewissen Schoko-Ei möglich ist. Da dies wohl nicht mit einem Modul machbar ist, recherchierte ich mit Big G nach sich ergänzenden Modulen. Hierbei half mir eine Modul-Übersicht auf crackingdrupal.com.

Seit heute setze ich nun für Kommentare eine drei-stufige Lösung ein, werde jedoch zukünftig noch weitere Stufen ergänzen:

  1. Bad Behavior analysiert die HTTP Anfragen auf bekannte Muster von SPAM-Bots und blockt deren Zugriff auf mein Blog komplett.
  2. Spamicide ergänzt mein Kommentar-Formular um ein verstecktes Feld, welches viele SPAM-Bots trotzdem ausfüllen.
  3. Block anonymous links validiert den eigentlichen Kommentar-Bereich und verweigert bei Gästen jegliche Einträge, die Links enthalten.

Hinweis: Letzteres ist etwas unschön, da ich eigentlich lieber Kommentare mit einer bestimmten Linkanzahl (beispielsweise mehr als 2) verhindern würde. Zudem würde ich mir eine Validierung wünschen, die Kommentare mit Wörtern aus einer frei definierbaren Blacklist verhindert.

Fazit

Die Lösung ist nicht optimal, aber durch ihre Mehrstufigkeit optimal erweiterbar. Es hapert derzeit vor allem noch an der Verhinderung von Pingback-SPAM, da hierbei Stufe 2 und 3 nicht greifen. Dies nutzte heute dann auch prompt mein erster derartiger Spammer, über den Tanja die Tage schon berichtet hat.

Weitere Erkenntnisse werden die nächsten Tage oder Wochen bringen, doch bei meinem Kontakt-Formular werde ich wohl erstmal weiter auf CAPTCHAs setzen.

Wie sieht es bei Euch aus, vertraut Ihr externen Diensten (Mollom/Akismet), die ich persönlich nach deutschem Recht für sehr problematisch halte oder nutzt Ihr auch lokale Lösungen? Wenn ja, welche?

Hallo! Bist du neu hier? Dann abonniere doch den RSS-Feed dieses nicht mehr ganz so stillen Örtchens, um über meine geistigen Ergüsse auf dem Laufenden zu bleiben. Alternativ besteht auch die Möglichkeit, sich von FeedBurner per E-Mail über meine Ausscheidungen benachrichtigen zu lassen.

Kommentare

Wir verwenden Mollom. Mollom ist sehr effektiv und die Captcha's sind - wenn überhaupt vorhanden - leicht lesbar und bringen den User nicht zur Verzweiflung. Ein großer Nachteil der kostenlosen Variante ist, dass zeitweise - auch wenn nur für wenige Minuten - die Server nicht erreichbar sind. Ein bestimmter Blog-Artikel wird tagtäglich regelrecht bombadiert von Spam-Bots. Mollom lässt an sich keinen durch, jedoch mogeln sich alle paar Tage doch 1, 2 Spams rein, weil eben die Mollom-Server gerade unerreichbar waren.

Da der Blog noch sehr klein und relativ jung ist, und sich die Kommentare in sehr sehr bescheidenen Grenzen halten, halte ich die momentane Lösung für ausreichend, werde aber Deine Verbesserungen im Auge behalten ;)

Neuen Kommentar schreiben

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.
Der Inhalt dieses Feldes wird öffentlich zugänglich angezeigt, aber als rel="nofollow" markiert.
Hinweis

Kommentare beleben den Blog! Ich freue mich über jeden Kommentar. Du kannst hier offen Deine Meinung zum Artikel sagen, aber bitte beachte die Netiquette und vermeide es andere zu beleidigen.

Bitte unterlasst es die Kommentare zu SEO-Zwecken zu missbrauchen. Kommentare mit Links, die nicht zu Blogs führen (oder zu Blogs mit Grauzonen-Themen) und/oder Keywords als Namen verwenden, sind nicht erwünscht!

Möchtest Du mir einen Blog-Artikel schmackhaft machen, dann schreib die URL ohne HTML-Tag in den Kommentarbereich und ich werde diesen bei Gefallen verlinken.