CAPTCHAs und Rechenaufgaben – sie helfen, die Spam-Flut einzudämmen. Mit einem einfachen “Trick”, der nicht einmal diesen Namen verdient, können WordPress-Nutzer den Spam tiefer an der Wurzel packen.

Der Kampf gegen Kommentar-Spam lässt Website-Betreiber immer öfter graue Haare wachsen. Die kriminelle Energie, die für das stetige Zumüllen von Foren, Gästebüchern und Weblogs sorgt, scheint zu wachsen.

Manchmal haben aber auch Websitebetreiber Spaß an diesen fortwährenden Auseinandersetzungen, nämlich wenn es doch einmal möglich war, Spammer mit einfachsten Mitteln auszutricksen und sich deren Faul- und Dummheit zu bedienen.

Um es gleich vorweg zu nehmen: der folgende Trick verdient noch nicht einmal diese Bezeichnung. Er wirkt aber dennoch!

Wer Standard-Software für sein Forum, Gästebuch oder Weblog nutzt, hat es schwerer als Nutzer von individuell programmierter Software – zumindest was Missbrauch angeht. Die Dateinamen der für Spammer interessanten Skripte sind immer gleich. So lassen sie sich ganz einfach mit GET- oder POST-Parametern und zufälligen Artikel-Kennungen ansteuern. Das aufwändige, vorherige Auslesen der Website sparen sich – zur Zeit – offenbar so gut wie alle. Ein Beispiel an einem Weblog, betrieben mit WordPress:

So gut wie jedes Weblog wird Artikel mit den Artikel-Kennungen 1 bis 50 haben. Das Skript zum Senden der Kommentare heißt “wp-comments-post.php”. Somit ist es sehr einfach, automatisiert einen POST mit den ebenfalls bekannten Kommentarformular-Feldern für die Artikel 1 bis 50 zu generieren und zu senden – fertig ist der Spam. Dass mittlerweile weit über 90% des Spams entweder von Akismet oder Spam Karma 2 aus dem Spam-Strom herausgefischt werden, interessiert Spammer nicht. Die Masse macht es, und solange ein gewisser Promillesatz aller Spam-Kommentare seinen Weg findet, lohnt es sich für die Spammer.

Trotzdem bleibt der Spam ein Ärgernis, denn in der Regel muss sich doch jemand ab und an die Spam-Kommentare ansehen, um falsche Positiv-Erkennungen wieder rückgängig zu machen.

CAPTCHAs und Rechenaufgaben helfen, die Spamflut einzudämmen. Der Aufwand und die, insbesondere bei CAPTCHAs, zusätzliche Serverlast, die diese Mechanismen bei jedem Artikelaufruf erzeugen, sollten CAPTCHAs und Rechenaufgaben nicht zu den ersten Mitteln der Spambekämpfung machen. Sie kurieren auch nur Symptome, bürden menschlichen Nutzern zusätzliche Arbeit auf, packen das Problem nicht an der Wurzel und nutzen nicht die Schwäche der Spam-Skripte: deren Dummheit.

Die Spam-Skripte gehen davon aus, dass das Kommentar-Skript immer den gleichen Namen hat. Es genügt, dem Skript einen anderen Namen zu geben, um die Spammer ins Leere laufen zu lassen.

Dazu muss die Datei “wp-comments-post.php” zum Beispiel in “wp-komments-post.php” umbenannt werden. In der Datei “wp-contents/themes/(Name des Themes)/comments.php” muss die Zeichenkette “wp-comments-post.php” ebenfalls umbenannt werden. Das wars schon.

Ein kurzer Test auf einem Webserver hat ergeben, dass nach der Änderung die Datei “wp-comments-post.php” trotzdem häufig aufgerufen wurde, was jedes Mal mit einem 404-Fehler fehlschlug. Niemand setzt ein Lesezeichen auf diese Datei – verlinkt ist sie ebenfalls nicht mehr. Es müssen also Spammer gewesen sein, die gegen die Wand gelaufen sind.

Natürlich lässt sich auch dieser “Trick” leicht umgehen, indem zunächst die HTML-Seite ausgelesen und dann das Action-Attribut des zum Kommentar-Formular gehörigen <form>-Elements erfasst wird. Aber die Spammer machen es uns nicht leicht, und wir machen es ihnen ebenso nicht leicht – dies ist nur eine weitere Schlacht im Krieg gegen Spam.

Erstveröffentlichung 04.04.2007