Kurz und Knapp

  1. Verlegt die Anmelde URL von wp-login.php auf eine in der kein „login“ oder „anmelden“ oder sowas vorkommt. Ich hab es mit dem Plugin WPS Hide Login  gemacht. (Nicht vergessen die Links in den Menüs auch nicht Login zu nennen, einige der Programme erkennen das und nehmen dann den geänderten Anmeldelink dahinter).
  2. Benutzt ein Captcha Plugin wie z.B. Advanced noCaptcha reCaptcha
  3. Ban Hammer installieren, Blackliste von E-Mail Adressen und Domains, die sich dann nicht mehr Registrieren können.
  4. Benutzt ein Antispam Plugin wie Akismet Anti-Spam (das verhindert nur den Kommentarspam, aber doch sehr wirkungsvoll, die Anmeldungen werden nicht verhindert)

Hintergrund

WordPress ist eines der am meisten verbreiteten Content Management Systeme. Beliebt ist man aber gerne auch bei den falschen Leuten. Wer sind denn die falschen Leute? Menschen, die versuchen ihre Beiträge und Links zu ihren eigenen Projekten automatisiert unters Volk zu bringen.

Da arbeiten ganze Horden von Programmen daran, WordPress Installationen zu finden und sich automatisiert dort anzumelden um dann Spam Kommentare mit Links auf die eigenen Blogs, Werbeseiten oder Affiliate Seiten zu platzieren.

Der sogenannte Backlink ist das Gold der Suchmaschinen Optimierer. Also ein Link auf die eigene Seite. Das findet auch Google gut und ist somit die Währung der sogenannten SEOs (Search Engine Optimization). Die in der Grauzone des Internets arbeitenden SEOs (es gibt natürlich auch SEOs, die einen ganz normalen Job machen) versuchen über ungeschützte WordPress Installationen ihre Backlinks in den Kommentaren zu platzieren.

Dafür gibt es spezielle Programme, die das Internet nach typischen WordPress Kennzeichen durchsuchen. Eine Standard Login Seite zum Beispiel (www.deinedomain.de/wp-login.php). Eine Suche bei Google nach „wp-login.php“ ergibt ca. 12 Mio. Treffer, bei Microsofts Bing immerhin noch über 5 Mio. Treffer.

Es ist also schon alleine über diese Anmelde Adresse leicht, WordPress Installationen zu finden.

Die speziellen Programme melden sich dann vollautomatisch mit erfundenen Namen bei Hunderten oder tausenden dieser gefundenen Installationen an und bestätigen auch die zurück gesendete Aktivierungsmail. Um dann Kommentar Spam zu betreiben. Solche Karteileichen braucht man nicht und vor allem auch nicht die dann erstellen Kommentare, die fast immer Links auf dubiose Seiten enthalten.

Früher war es recht einfach diese Zufallsanmeldungen zu erkennen, da die ausgesuchten Namen einfach nur zufällige Zeichenketten ohne Sinn und Verstand enthielten. Inzwischen, da Millionen von Benutzerdaten von allen großen IT Firmen gehackt wurden, sind diese auch so langsam in das Netz gesickert und so melden sich diese Automaten mit sprechenden Namen, manchmal sogar passend zur E-Mail Adresse, an.

Es ist bei der schieren Masse an Anmeldungen auch gar nicht praktikabel diese von Hand zu löschen.

Es gibt also zwei Wege wie man solche Anmeldungen handhabt.

  1. Man lässt es gar nicht erst dazu kommen, dass sich Fakes anmelden.
  2. Man löscht sie nach einiger Zeit Inaktivität.

Wie kann man jetzt also verhindern, dass man mit solchen Fake-Anmeldungen überhäuft wird? Ich werde im Folgenden meine Erfahrungen mit WordPress als Basis für das Supportnet schildern.

Spam Anmeldungen Verhindern

Da wir jetzt wissen wie die Spammer vorgehen ist es relativ einfach das zu verhindern. Am einfachsten ist es natürlich, wenn man mit seinem WordPress gar nicht mehr gefunden wird und somit aus dem Raster der Spammer raus fällt.

Die Stealth Technologie gegen WordPress Spammer ist daher das Umbenennen der Anmeldedateien. Werden diese verräterischen Dateien nicht mehr über die bekannten Suchmaschinen gefunden bleibt man mit seinem WordPress Blog von den Spamanmeldungen weitestgehend unbehelligt.

Es gibt einige Plugins um dies zu bewerkstelligen, ich habe gute Erfahrungen mit dem WPS Hide Login Plugin gemacht. Bei diesen Plugins muss man aufpassen, da man sich bei Fehlern gerne mal aus seiner WordPress Installation aussperrt und sich nicht mehr anmelden kann. Dann hilft meist nur noch manuell den Plugin Ordner zu löschen oder händisch in der Datenbank zu werkeln.

Wer das WPS Hide Login Plugin installiert hat kann es nun im WordPress Dashboard unter „Einstellungen/Allgemein“ auf der Seite ganz unten einstellen:

Unten in dem Eingabefeld gibt man nun die neue Adresse für die ganzen Anmelde- und Registrierungsseiten an. Am besten man sucht sich eben gerade nicht das Wort „Login“ aus, da genau das von den Spamern auch automatisiert gefunden wird.

Eine beliebige Zeichenkette ist die sicherste Wahl.

 

 

Nachdem man die Änderungen mit „Änderungen speichern“ bestätigt hat funktioniert die normale Adresse www.deinedomain.de/wp-login.php für das Anmelden nicht mehr. Auch alle Optionen wie das Registrieren, Passwort vergessen und alle Links die standardmäßig mit der wp-login.php geregelt werden sehen jetzt so aus:

  • wp-login.php -> /lksfhsd
  • wp-login.php?action=register -> /lksfhsd/?action=register
  • wp-login.php?action=lostpassword -> /lksfhsd/?action=lostpassword
  • wp-login.php?action=logout -> /lksfhsd/?action=logout

Ihr seht, für Roboter ist das jetzt nicht mehr ganz so leicht zu finden.

Einige Roboter schauen sich aber das Menü einer Seite an und wenn sie dort einen Link finden, der „Login“ heißt dann folgen sie diesem Link und die ganze Mühe war umsonst. Da die meisten WordPress Login Spamer aus dem Ausland kommen ist man im Moment mit einem Linknamen wie „Anmeldung“ noch gut geschützt.

Hinweis: Falls jemand ein Theme installiert hat, das eigene Login Seiten zur Verfügung stellt, dann solltet ihr diese nicht mehr benutzen, da diese meist nicht mehr funktionieren oder die Standard-Login-Seiten benutzen.

Captcha benutzen

UPDATE Captcha benutzen 24.06.2018

Da das ursprünglich von mir getestete Captcha keine Möglichkeit hat es auf bestimmte Anmeldeoptionen zu beschränken habe ich ein anderes ausgesucht, das man so einstellen kann, dass es nur bei Neuregistrierungen angezeigt wird aber bei Mitgliedern, die schon registriert sind nicht noch einmal bei jeder Anmeldung ausgefüllt werden muss. Dies war eine Überlegung, die mir gekommen ist da sich einige sehbehinderte Menschen darüber beschwert haben. Und wenn man es sich genau überlegt ist es auch logisch, wenn man bei der Registrierung schon erkannt hat ob jemand ein echter Mensch ist, dann muss man das beim Anmelden nicht jedesmal wieder machen.

Daher meine empfehlung jetzt:

Advanced noCaptcha reCaptcha

Dieses Plugin benutzt genau wie „Login No Captcha reCAPTCHA“ das Google Captcha und hat zusätzlich noch die Möglichkeit in den Optionen angeben zu können wo überall das Captcha abgefragt werden soll. Also bei der Registrierung, beim Anmelden, bei der Option „Passowort vergessen“…

 

 

Das Advanced noCaptcha reCaptcha klinkt sich in das WordPress Dashboard unter den „Einstellungen/Acvances noCaptcha and invisible Captcha ein:

 

Ende Update

 

Captchas sind Rätsel, die ein Roboter nicht so einfach lösen kann. Einfache Roboter werden schon alleine aus dem Tritt gebracht wenn sie zu der Angabe von einem Login, einer E-Mail Adresse und einem Passwort noch eine Angabe machen müssen. Roboter sind ja meist noch etwas blöd und arbeiten nach Schema f.

Durch so ein zusätzliches Rätsel auf der Registrierungsseite kann man schon mal einige dumme Roboter aussperren. Ich habe hier das Captcha Plugin von Robert Peake Login No Captcha reCAPTCHA genommen, da dieses das sehr dezente Captcha von Google verwendet. In den meisten Fällen muss man nur das Kästchen anklicken, dass man kein Roboter ist.

Manchmal zeigt Google Captcha einem auch Bilder die in Quadrate aufgeteilt werden in denen man dann die Quadrate anklicken muss, in denen ein Auto, ein Straßenschild oder sonst etwas zu erkennen ist. Das ist eine sehr gute Methode Roboter von der Registrierung fern zu halten, da diese solche Entscheidungen noch nicht treffen können. Manchmal denke ich aber auch, dass Google diese Möglichkeit nutzt um seine Künstliche Intelligenz zu trainieren, da wir Menschen ja bei so einem Test sehr genaue Angaben machen was auf solchen Bildern zu sehen ist und Bilder von Straßen und Landschaften hat Google ja genug.

In der Praxis hat sich gezeigt, dass diese Bilderrätsel von Google für manche Menschen mit Sehbehinderung ein fast unüberwindbares Hindernis darstellen. Zwar bietet Google Captcha genau für diesen Fall an eine Tondatei abzuspielen aber die Qualität dieser Töne ist wohl so schlecht, dass es für viele Menschen unmöglich war sich zu registrieren.

 

Captchas, und gerade das von Google können auch leicht umgangen werden. Es gibt Dienstleister, die für 1000 Captchaauflösungen 2 Dollar verlangen. So können sich diese Roboterprogramme mit einem entsprechenden Plugin also auch um das Google Captcha herumschleichen. Ob hinter diesen Dienstleistern hochtechnologische Bilderkennungsprogramme laufen oder tausende von billigen Arbeitskräften diese Captchas lösen liegt wohl im Moment noch an der Verfügbarkeit von billigen Arbeitskräften.

Hinweis: Bei meinem Avada Theme ist eine eigene Login-Seite mit sehr hübschen Login Widgets dabei. Diese werden aber durch die normalen Captcha Plugins nicht mit Captchas ausgestattet und die Roboter können sich weiter ohne Captcha Abfrage auf so einer Beispielseite anmelden. Als Lösung sollte man diese Seiten und Widgets einfach nicht benutzen.

Blacklist für Wegwerf E-Mail Adressen und Spam-Domains installieren

Leider hat WordPress selber keine Möglichkeit E-Mail Adressen oder Domains von der Registrierung auszusperren. Das ist aber im Kampf gegen Roboter ein gutes Mittel und hilft auch sich Trolle vom Leib zu halten. Daher ist das Plugin „Ban Hammer“ von Mika Epstein hier sehr hilfreich. Der Name ist Programm und man kann eine Liste mit gesperrten Maildomains oder Wörtern angeben. Wenn diese Domains oder Wörter in der E-Mail Adresse vorkommen mit der sich jemand anmelden will, so kann er das nicht und bekommt eine Nachricht.

In dieser Nachricht sollte man eine Kontaktmöglichkeit angeben um echte Menschen nicht zu verprellen. In meinem ersten Versuch habe ich mail.com in der Liste gehabt, wodurch auch alle gmail.com Nutzer ausgesperrt wurden. Richtigerweise sperrt man die Domain mail.com in der Liste indem man ein @ Zeichen davor schreibt, also @mail.com

Über das WordPress Dashboard kommt ihr über die „Werkzeuge“ und dann auf „Ban Hammer“ zu den Einstellungen:

BanHammer-E-Mail-Liste zum Download.

Ban Hammer benutzt die in WordPress integrierte Blockliste für Kommentarspam als Speicherort. Warum WordPress diese Liste nicht selber nimmt um Registrierungen zu verhindern bleibt ein Rätsel.

Hier sieht man, dass die Liste in den „Einstellungen“ der „Diskussion“ wieder auftaucht.

Ein Antispam Plugin wie Akismet installieren

Akismet ist ein Plugin, welches zentral registriert wo überall Kommentarspam hinterlassen wird und die Anmeldedaten der Spamer zentral abgleicht. Hat ein Besucher mit einer bestimmten E-Mail Adresse schon einmal auf einer WordPress Installation Spam Kommentare hinterlassen, dann wird diese E-Mail Adresse als Kennzeichen genommen um auf allen anderen Seiten, die das Akismet Anti-Spam Plugin installiert haben einen Kommentar Spam zu verhindern.

Ihr seht, es geht hier also nicht in erster Linie darum die Spam Anmeldungen zu verhindern, aber falls sich ein Roboter durch die oberen beiden Maßnahmen gekämpft hat wird hier ziemlich zuverlässig verhindert, dass er sein eigentliches Ziel, Kommentare mit Links auf seine Seiten unterzubringen, nicht erreicht.

Akismet verlangt einen API Key, den man auf der Akismet Seite kostenlos generieren kann. Eine Anleitung wie das genau geht findet ihr hier:

Akismet Installation und API Key

Fazit

Mit diesen vier Maßnahmen habe ich die Fake Registrierungen auf Supportnet von ca. 100-200 pro Tag auf ein bis zwei pro Tag senken können (Update 30.07.2018: Mit diesen vier Methoden habe ich seit vielen Wochen keine einzige Fake Anmeldung mehr gehabt, was für die Effektivität dieser Mittel spricht, da das Supportnet auch in den Suchmaschinen bekannt ist und mehrere Hunderttausend Seiten hat). Die effektivste Methode ist das Umbenennen der Login Adresse. Zuerst hatte ich nur das Captcha Plugin installiert und damit ca. 50% der Fakeanmeldungen verhindert. Nachdem ich die Anmeldeadresse auf eine kryptische Zeichenkette umbenannt habe waren Spamanmeldungen kaum noch zu sehen.

Der Ban Hammer macht seinem coolen Namen alle Ehre. Einfach aber effektiv. Man schaut einfach mal was so für Anmelde E-Mail Adressen häufig mit Spam zu tun haben und sperrt diese nach und nach aus. Für Wegwerf E-Mail Adressen ein absolutes Muss.

Seiteneffekte durch die Umbenennung der Login-Adresse gibt es, sie halten sich aber in Grenzen. Manche Plugins, die mit der Anmeldung zu tun haben kommen mit der neuen Adresse nicht klar. Bei mir ging die im Avada Theme enthaltenen Login Widgets danach gar nicht mehr, was schade ist, da die WordPress Standardanmeldung schon irgendwie „schäbig“ ist.