Spam, der ungebetene Gast in beinahe jeder Mailbox
Spam ist in unserer Gesellschaft allgegenwärtig.
Beinahe jeder von uns erhält im Laufe einer Woche mehrfach E-Mails von unbekannten Absendern. Besonders E-Mail Adressen, die ungefiltert auf Websites zu finden sind, sind davon betroffen. Daher empfiehlt es sich von vornherein, verschiedene E-Mail Konten anzulegen.
Aber was kann ich machen, wenn Spams über die eigene (WordPress-)Website den Weg in mein E-Mail Postfach finden? Wie kann ich mich hier schützen, ohne dabei echte interessierte Nutzer abzuschrecken?
Identifizierung der Quelle
Um sich gezielt gegen Spam zu schützen, sollten wir uns zuerst ansehen, wodurch er verursacht wird.
Wir prüfen daher, über welchen Kanal die Spamnachrichten versandt werden. Hierfür gibt es mehrere Möglichkeiten. Neben den Kommentaren in Posts, kann jegliches (Kontakt-)Formular, aber auch jeglicher mailto-Link ein Einfallstor darstellen.
Spam über Kommentare
Diese Variante ist am einfachsten zu identifizieren und auch am einfachsten zu fixen.
Jeglicher Kommentar wird im Backend im Bereich „Kommentare“ gespeichert. Wenn es hier zu vielen unerwünschten Nachrichten kommt, können wir uns Hilfe durch ein Plugin holen.
Das genau für diese Zwecke erstellte Plugin Antispam Bee ist gratis und vollkommen DSGVO-Konform. Es übermittelt keine Daten an externe Server und kann somit bedenkenlos verwendet werden. Bereits in der Basiskonfiguration schützt uns das Plugin vor unerwünschten Kommentaren.
Spam über (Kontakt-)Formulare
Formulare sind ein essenzieller Bestandteil einer jeden Website.
Umso ärgerlicher ist es, wenn sie dazu missbraucht werden, uns unnötige Nachrichten zu schreiben. Glücklicherweise können wir auch hier recht schnell und einfach herausfinden, wo es zu einem vermehrten Auftreten von Spam kommt.
Im folgenden beziehe ich mich auf das beleibte Formular-Plugin Contact-Form 7. Wir geben einfach beim Erstellen des Formulars an, welche Inhalte mit der E-Mail gesendet werden. Um herauszufinden, ob der Spam hierüber verbreitet wird, kann ich im Feld „Betreff“ zusätzlich angeben, um welches Formular es sich handelt. Schon weiß ich, wo ich ansetzen muss.
Die verschiedenen Arten der Spamabwehr für Formulare
In Formularen ist das Abwehren von Spam etwas schwieriger.
Immerhin wollen wir die Verwendung der Formulare so einfach wie möglich halten. Es sollen kaum unnötigen Aktionen von den Besuchern nötig sein, um ein Formular abzuschicken.
Honeypots
Eine Möglichkeit sind sogenannte Honeypots. Das sind versteckte Felder im Formular, die Bots aussperren sollen. Wenn so ein verstecktes Feld ausgefüllt wird, verweigert das Formular das Absenden. Das ist eine recht benutzerfreundliche Methode, weil wir in diesem Fall überhaupt nicht mitbekommen, dass hier etwas gegen Spam unternommen wird. Es filtert aber bereits einige ungewollte Nachrichten heraus.
Leider funktioniert diese Methode nicht immer. Außerdem muss nicht hinter jedem Spam automatisch ein Bot stecken. Es gibt auch Menschen, die Spam verfassen und abschicken. Und diese Menschen landen natürlich nicht in unserer versteckten Falle.
Das hier besprochene Honeypot Plugin ist für die Zusammenarbeit mit Contact-Form 7 ausgelegt und ist ebenfalls gratis und DSGVO-konform.
Das Plugin gibt uns Zugang zum neuen Formular-Tag „Honeypot“ und bietet einen erwartbaren Umfang. Erstmal reicht die Basiskonfiguration. Auf die zusätzlichen Einstellungen können wir später zurückgreifen, wenn wir unsere Fallen etwas anpassen müssen. Sicherheitshalber sollten gleich mehrere dieser Honeypots in unser Formular eingebaut werden.
Captchas
Captchas sind die weniger benutzerfreundliche Art abzufragen, ob es sich beim Besucher um einen Menschen handelt.
Denn hier verlangen wir von den Besucherinnen aktiv zu werden. In den meisten Fällen müssen kleinere Rätsel oder Aufgaben gelöst werden. Dadurch soll sichergestellt werden, dass es sich beim Besucher um einen echten Menschen handelt. Das kann allerdings auch dazu führen, dass das Formular gar nicht erst abgeschickt wird. Daher sollte diese Variante nur dann gewählt werden, wenn alle anderen Methoden gescheitert sind.
Contact-Form 7 hat hierfür eine eigene, recht einfache Lösung anzubieten.
Das Plugin „Really Simple CAPTCHA„
Dieses Plugin funktioniert über Shortcodes, die wir in unser Formular einfügen müssen.
Der erste Shortcode repräsentiert dabei das Bild und hört auf den Ausdruck „captchac„. Hier als Beispiel in einem Shortcode: [captchac captcha-321 class:image size:l]
. Mit dem Ausdruck „captchar“ wird das dazugehörige Input eingebunden, mit dem das „Rätsel“ des Bildes gelöste werden möchte. Als beispielhafter Shortcode: [captchar captcha-321 class:input]
Hier ist darauf zu achten, dass wir für beide Shortcodes den gleichen Parameter für dessen Namen angeben. In unserem Fall ist das der Ausdruck „captcha-321
„. Damit wird im Hintergrund die Zuordnung der Beiden zueinander sichergestellt. Mit dem Parameter „size“ für das Bild können wir zusätzlich angeben, in welcher Größe das Bild erstellt wird. Genauere Informationen zu den Parametern gibt es auf der Seite des Entwicklers. Leider gibt es für dieses Plugin keinen „Tag Generator“, weshalb wir die Shortcodes selber in das Formular einfügen müssen.
Google reCAPTCHA
Für Captchas gibt es aber noch eine weitere Möglichkeit, die auch noch benutzerfreundlicher ist.
Bei der dritten Version von Googles reCAPTCHA wird damit geworben, dass hier keine direkte Interaktion der Besucherinnen mehr benötigt wird. Es muss also kein „Rätsel“ mehr gelöst werden.
Aber wie wir uns schon denken können, ist die Lösungen von Google nicht DSGVO-konform. D.h. wir müssten erst wieder bei den Besucher_innen um Erlaubnis bitten, diese Technologie zu verwenden, bevor ich mein Formular damit absichern kann. Das bedeutet, dass wir uns überlegen müssen, ob wir ein Kontaktformular überhaupt anzeigen wollen, solange eine Besucherin nicht die Zustimmung für die Verwendung eines Google-Dienstes gibt.
Die Einbindung von Googles reCAPTCHA (v3) ist zumindest recht einfach. Wir registrieren unsere Website bei Google und bekommen dafür ein Schlüsselpaar, das wir wiederum auf unserer Website eingeben müssen. Im Formular selber brauchen wir keine zusätzlichen Felder/Shortcodes mehr erstellen.
Spam über Links
Aber auch bei der Verwendung von Links kann eine E-Mail Adresse ausgelesen werden und gelangt so ins Adressbuch eines Spambots.
Daher empfiehlt es sich sehr vorsichtig mit E-Mail Adressen in einem normalen Inhaltsbereich umzugehen. E-Mail Adressen sollten sicherheitshalber nur an Stellen eingegeben werden, die hierfür vom Theme oder Plugin vorgesehen sind. Wenn das Theme oder Plugin ordentlich programmiert wurde, wird die E-Mail Adresse dabei durch die WordPress Funktion antispambot so verändert, dass einfache Webcrawler die Adresse nicht auslesen können.
Dabei entsteht standardmäßig im Hintergrund eine durch Hexadezimal-Codierung entstellte Zeichenfolge, die eure echte E-Mail Adresse versteckt. Der Browser hingegen wandelt diese Zeichenfolge automatisch um und zeigt euren Besuchern die echte E-Mail Adresse.
Wer E-Mail Adressen im normalen Inhalts-Editor verwendet, sollte sich das Code-Snippet auf der Seite genauer ansehen. Hiermit könnt ihr über Shortcodes jegliche E-Mail Adressen umwandeln. Falls ihr euch nicht sicher seid, wie ihr das verwenden könnt, fragt am besten beim Entwickler eures Themes nach.
Conclusio
Bei all den Möglichkeiten, die wir hier besprochen haben, muss uns leider klar sein, dass es keinen 100%igen Schutz vor Spam gibt.
Wir können nie ausschließen, dass nicht doch ein Mensch hinter gewissem Spam steckt. Außerdem wird die Entwicklung von Spam-Abwehr immer einen Schritt hinter der Entwicklung von Spambots sein. Mit den hier besprochenen Techniken können wir aber immerhin einen Großteil von Spam verhindern.