#HOWTO Formular-Spam oder Spam-Kommentare vermeiden

2. Februar 2018 Heute möchten Unternehmen online Dialoge mit KundInnen führen. Nicht nur auf Social Media sind Interaktionen erstrebenswert. Viele Blog-BetreiberInnen setzen deshalb auf die Kommentarfunktion von Content-Management-Systemen. Das unterstützt die Kundenbindung und erlaubt Diskussionen und Austausch über verschiedene Themen. Kommentare sind für viele eine gute Sache. Aber sie haben auch eine Kehrseite: Ohne Schutzfunktion entstehen nach einer Weile zuverlässig Spam-Kommentare inklusive unerwünschter Werbung, die das Bild der eigenen Webpräsenz zerstören und nerven.

Wie schützen Sie sich am besten gegen Spam-Kommentare auf der eigenen Webseite?

Spam-Kommentare sind ein Problem

Sogenannte Spam-Bots oder Crawler machen es Webseiten-BetreiberInnen nicht leicht. Spam-Bots sind autonom agierende Computerprogramme. Diese hinterlassen beispielsweise Spam-Kommentare auf Webseiten. Sie sammeln E-Mail-Adressen im Internet. Spam-Bots durchforsten laufend das gesamte Internet auf ungeschützte Formulare, Absende-Buttons und Eingabefelder. Einmal gefunden versenden die Bots massenhafte Emails (über Formulare oder E-Mail-Adressen) mit unerwünschten Inhalten, unerwünschter oder unangebrachter Werbung mit Links auf andere Webseiten.

Lästig und vor allem zeitraubend ist Formular-Spam deshalb: Der/die Webseiten-BetreiberIn muss laufend alle eingehenden Kommentare durchsehen und freigeben oder im Falle von Spam löschen. Das sind Zeitaufwände, die sich jeder lieber spart.

Treffen Webseiten-BetreiberInnen die Einstellung, dass jeder Kommentar gleich (ohne vorhergehendes Review) veröffentlicht wird, entsteht das Problem, dass böswilliger oder schlechter Inhalt in Kommentaren entsteht und BesucherInnen abgeschreckt werden. Eventuell beeinflussen diese Kommentare sogar das Ranking in den Google-Suchergebnissen negativ.
Das ReCaptcha auf der Webseite Backoffice&more (www.backofficeandmore.at) Zoom

Captchas und ReCaptchas – Unbeliebt, aber hilfreich?!

Unterstützung in der Abwehr gegen Spam-Kommentare bietet Google: Mit Captchas und ReCaptchas (> Zum Beitrag Captchas). Jeder kennt diese Funktion und hat sie bestimmt schon mehrfach ausgefüllt. Entweder müssen verzerrte Zeichen eingetragen, bestimmte Charakteristika in Bildern ausgewählt oder ein Kreis mit der Maus getroffen werden. Captchas sollten immer einfacher werden, weshalb es laufend neue Formen von Captchas gibt. Nervig bleiben sie aber dennoch (und damit potenziell conversion-senkend).

Dennoch helfen ReCaptchas vor Spam-Kommentaren. Und das ReCaptcha, in welchem ein Kreis getroffen wird, sehen wir als diplomatisch an, da die Menschen hier in kurzer Zeit eine kleine Übung absolvieren. Wichtig ist, dass jeweils ein aktuelles Captcha eingebunden ist, da ansonsten Bots hier wieder Chancen haben, sich mit Werbung einzutragen.

Honeypots für Bots – Unsichtbare Eingabefelder beim Formular

Spam-Bots füllen bei Formularen alle Felder aus. Menschen tun dies nicht (immer). Menschen orientieren sich am Layout der Webseite, Spambots orientieren sich am Quelltext der Onlinepräsenz. Für Menschen versteckte (ausgeblendete) Eingabefelder können von WebseitenbesucherInnen nicht ausgefüllt werden. Der Bot weiß jedoch nicht, welche Eingabefelder sichtbar oder unsichtbar sind und füllt demnach alle Eingabefelder aus, auch den "Honeypot". Zack, in der Falle: Wenn nun Bots unsichtbare Felder eintragen, wird der Bot entlarvt und sein Kommentar verworfen.
Taschenuhr im Sand

Timestamp / Zeitfilter – Zeitmessung vor Ausfüllen des Kommentarformulars

Mit dem Timestamp wird die Zeit gemessen, die der Bot / Mensch auf der Webpräsenz verbracht hat, bis  schlussendlich das Formular ausfüllt wird. Die extrem schnellen Spambots können damit sehr einfach von echten NutzerInnen unterschieden werden. Der Timestamp oder Zeitfilter mit einigen Sekunden ist eine effektive und für den Menschen unsichtbare Möglichkeit, Spam-Kommentare zu vermeiden. Die Nutzerfreundlichkeit dieser Methode ist sehr hoch, weshalb sie sicher eine gute Alternative zu den Captchas darstellt.

Inhaltsprüfung der Kommentare - PlugIn-Lösungen von Wordpress

Gerade bei Wordpress-Webseiten ist Spam ein großes Problem, weil Wordpress einen großen Marktanteil hat und deshalb ein begehrtes Ziel von Bots oder Hackern ist. Aufgrund dessen gibt es sehr viele unterschiedliche Wordpress-Plugins, die Kommentare auf typische Spam-Inhalte überprüfen. Viele Anti-Spam-Lösungen arbeiten dabei mit umfangreichen (teils öffentlichen, teils nicht-öffentlichen) Datenbanken, die bereits erkannte Spam-Inhalte auflisten. Inhalte wie IP-Adresse, Inhalte, Links, die bereits als Spam bekannt sind, werden durch den Abgleich mit der Datenbank erkannt. Datenschutzrechtlich ist es Thema, wo diese Datenbanken liegen und gespeichert sind.

Ein Standard-Plugin Akismet (Automattic Kismet) wird bei allen Wordpress-Installationen mitgeliefert. Hierbei werden Kommentare auf Spam-Links und Informationen überprüft, ausgewertet und in die Warteschleife verbannt, bis die Inhalte dann nach einigen Wochen gelöscht werden. Es sei denn, die Webseiten-BetreiberInnen löschen oder aktivieren die Inhalte vorher manuell. Ein weiteres Tool, das Spam-Kommentare vermeiden hilft, heißt Antispam Bee: Datenschutzrechtlich unbedenklich (nach europäischen Standards), kostenlos, werbefrei und ohne Captcha ist dieses Plugin eine gute Alternative und erlaubt auch viele manuelle Einstellungen für EntwicklerInnen und Webseiten-BetreiberInnen.  

Bei Projekten mit Wordpress verwenden unsere Wordpress-Experten ein eher unbekanntes Plug-In, mit welchem es datenschutzrechtlich keine Probleme gibt. Und das heißt: Anti-Spam. Unsichtbar für Webseiten-BesucherInnen werden vom Wordpress-Plugin Anti-Spam Honypots für Bots erstellt.

Welche Methode oder Methodenkombination ist die Beste?

Ziel ist, Spam-Kommentare soweit einzudämmen, dass sie keine Belastung mehr für Webseiten-BetreiberInnen und BesucherInnen darstellen. Es ist wichtig, dass die Maßnahmen laufend im Auge behalten und gegebenenfalls angepasst werden. Denn Bots lernen dazu und lösen auch die neuen Aufgaben womöglich nach gewisser Zeit. Von Zeit zu Zeit stoßen auch Schutzmaßnahmen an ihre Grenzen, dann werden andere Lösungen oder Lösungskombinationen verwendet.

Abhängig davon, welche Projektzielsetzung besteht, werden wir als Agentur abwägen, welche Methode die sinnvollste ist. Bei stark besuchten Webseiten mit Kommentarfunktion werden wir eine sichere Variante wählen und dafür vielleicht in Kauf nehmen, dass die Menschen einen Klick tätigen müssen. Bei weniger stark frequentierten Onlinepräsenzen werden wir ob der Conversion-Optimierung in jedem Fall eine für den Menschen unsichtbare Variante wählen, um hier die Hürde beim Ausfüllen des Formulars nicht zu vergrößern. Wir finden in jedem Fall eine maßgeschneiderte Lösung und werden diese auch testen und optimieren. Das heißt, laufend im Auge behalten. Die Kombination aus Maßnahmen hat oft den höchsten Effekt: Beispielsweise einen Timestamp und ein ReCaptcha.

News und Online-Trends

Anton Jungwirth lacht in die Kamera. Er ist Entwickler und Programmierer der St. Pöltner Online-Agentur Q2E.
Sicherheit

Was in Sachen Sicherheit bei Wordpress-Webseiten zu beachten ist [Agentur-Tipps]

24. April 2019 | Als Entwickler liegt mir am Herzen, dass unsere KundInnen nur sichere Webseiten verwenden. Wir haben 10 Tipps für Entwickler und Wordpress-BetreuerInnen zusammengestellt.
EU-DSGVO

Ab 01/2019: Keine Sicherheitsupdates für PHP 5.6

12. Dezember 2018 | Das bedeutet für Webseiten und Webshops (mit dieser Version) ein erhöhtes Sicherheitsrisiko. Schnell umzusteigen auf neuere Versionen empfiehlt sich daher dringend.
HTTPS-Webseiten werden mit grünem Schloss symbolisiert. Nicht-sichere Webseiten werden rot dargestellt mit dem Schriftzug "not secure".
Sicherheit

Verstärkte Warnungen für unverschlüsselte HTTP-Webseiten in Google Chrome ab Herbst 2018

27. August 2018 | Der Webbrowser Google Chrome wird unverschlüsselte HTTP-Webseiten deutlicher als »unsicher« markieren. SSL-Zertifikate sind deshalb das A und O.
schwarz gezeichnete Umschläge auf weißem Hintergrund symbolosieren eine Flut an E-Mails
Sicherheit

Wie lässt sich verhindern, dass erwünschte Mails im Spam-Ordner landen?

31. Juli 2018 | Erwünschte E-Mails im Spam-Ordner? Wie ärgerlich! Wir geben Ihnen hier deshalb einige Tipps, was Sie dagegen unternehmen können.
EU-DSGVO

Der 13-Punkte-Sicherheits-Check für Webseite und Webshop

9. April 2018 | Weil eine sichere Webseite bzw. ein sicherer Webshop aus Marketing-Sicht so enorm zentral ist, reichen wir Ihnen Übersicht an die Hand, die Sie von Zeit zu Zeit gemeinsam mit Ihrem Hoster bzw. Ihrer Agentur durchgehen und überprüfen.
EU-DSGVO

Warum ich die neueste PHP-Version verwenden sollte

2. Februar 2018 | Wenn Sie eine Webseite haben, spricht Sie Ihre Agentur oder Ihr Hoster gelegentlich darauf an, ein PHP-Update zu machen. Warum eine aktuelle PHP-Version aus Marketing-Sicht ein Muss ist, erklären wir hier.