Sicherheit_SpamSchutz

Guite edited this page Nov 15, 2014 · 1 revision
Clone this wiki locally

Spamschutz

Wer Interaktivität auf seiner Website will, bekommt es ziemlich schnell mit Spam in Kommentaren, Gästebüchern und Foren zu tun. Für Zikula gibt es verschiedene Möglichkeiten, sich gehen Viagra & Co zu wehren.

CAPTCHAs

Um Bots von Menschen zu unterscheiden gibt es CAPTCHAs: Das sind diese oft verzerrten Bildchen, auf denen man Buchstaben und Zahlen erkennen muss.

Im Jahr 1950 formulierte Alan Turing welchen Ansprüchen ein Test genügen müsste, um automatisiert zwischen Mensch und Maschine unterscheiden zu können:

  1. Heutige Computer können den Test nicht lösen.
  2. Menschen können ihn (meistens) lösen.
  3. Es lassen sich neue Frage-Antwort-Kombinationen generieren.
  4. Menschen sollen den Test in möglichst kurzer Zeit lösen.

Da die Test immer noch lösbar für Menschen sein sollen, kann man die Test nicht immer schwerer machen. Moderne Schrifterkennungs-Programme können CAPTCHAs oft recht einfach lösen. Macht man die Tests schwerer, steigt die Frustration bei den Benutzern.

Captchas werden in Zikula trotzdem in verschiedenen Modulen benutzt:

  1. [//formicula Formicula] benutzt in den Kontaktformularen ein klassisches mathematisches CAPTCHA: Eine relativ einfache Rechenaufgabe, die als Bild anzeigt wird.

Weiterlesen

BadBehaviour

[//ezcomments/downloads Bad Behaviour] ist ein Modul, das direkt zu Beginn eines Seitenaufrufs zwischengeschaltet wird: Es überprüft den Zugriff auf bestimmte Merkmale von Spambots und schließt gegebenenfalls den Benutzer aus. Bad Behaviour lässt sich gut mit anderen Spamschutzmaßnahmen kombinieren.

Weiterlesen

Akismet

[//ezcomments/downloads Akismet] ist ein Spamfilter-Service von Wordpress, der per API Inhalte - vornehmlich Kommentare - auf Spam überprüft. Zum Betrieb benötigst Du einen Wordpress-API-Schlüssel, den Du bekommst, wenn Du Dir auf wordpress.com einen Account anlegst. Der Schlüssel ist eine Buchstaben/Zahlen-Kombination, die Du in der Administration des Akismet-Moduls eintragen musst.

Akismet wird bislang nur von [//ezcomments EZComments] unterstützt. Ist in Akismet ein korrekter API-Key eingetragen, kann man die Anit-Spam-Funktion in EZComments aktivieren und alle neuen Kommentare werden überprüft und gegebenenfalls nicht freigeschaltet.

SpamFree

[//spamfree SpamFree]

Benutzerregistrierung

In der Benutzerregistrierung kannst Du eine Frage mit einer Antwort einstellen, die die neuen Benutzer beantworten müssen. Eine solche Frage muss leicht genug sein, dass sie jeder Mensch beantworten kann und eine eindeutige Antwort haben, die man auch nicht falsch schreiben kann. Am einfachsten sind solche Fragen wie "Wieviel Buchstaben hat das Wort 'Umsatzsteuer' (Antwort bitte als Zahl)" Antwort: "12" - die Antwort ergibt sich aus der Frage und die Benutzer benötigen kein Vorwissen. Trotzdem ist es für Bots, die nicht speziell auf Deine Site angepasst wurden quasi unmöglich eine richtige Eingabe zu tätigen.

.htaccess

Du kannst mit einem entsprechenden Eintrag in der .htaccess eine ganze Reihe bekannter Bots aussperren:

# block bad bots, robots and spiders [larsneo]
RewriteCond %{HTTP_USER_AGENT} ^BlackWidow [OR]
RewriteCond %{HTTP_USER_AGENT} ^Bot\ mailto:craftbot@yahoo.com [OR]
RewriteCond %{HTTP_USER_AGENT} ^CherryPicker [OR]
RewriteCond %{HTTP_USER_AGENT} ^ChinaClaw [OR]
RewriteCond %{HTTP_USER_AGENT} ^Crescent [OR]
RewriteCond %{HTTP_USER_AGENT} ^Custo [OR]
RewriteCond %{HTTP_USER_AGENT} ^DISCo [OR]
RewriteCond %{HTTP_USER_AGENT} ^Download\ Demon [OR]
RewriteCond %{HTTP_USER_AGENT} ^eCatch [OR]
RewriteCond %{HTTP_USER_AGENT} ^EirGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailCollector [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailSiphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^EmailWolf [OR]
RewriteCond %{HTTP_USER_AGENT} ^Express\ WebPictures [OR]
RewriteCond %{HTTP_USER_AGENT} ^ExtractorPro [OR]
RewriteCond %{HTTP_USER_AGENT} ^EyeNetIE [OR]
RewriteCond %{HTTP_USER_AGENT} ^FlashGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetRight [OR]
RewriteCond %{HTTP_USER_AGENT} ^GetWeb! [OR]
RewriteCond %{HTTP_USER_AGENT} ^GoZilla [OR]
RewriteCond %{HTTP_USER_AGENT} ^Go-Ahead-Got-It [OR]
RewriteCond %{HTTP_USER_AGENT} ^GornKer [OR]
RewriteCond %{HTTP_USER_AGENT} ^GrabNet [OR]
RewriteCond %{HTTP_USER_AGENT} ^Grafula [OR]
RewriteCond %{HTTP_USER_AGENT} ^HMView [OR]
RewriteCond %{HTTP_USER_AGENT} HTTrack [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Stripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^Image\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} Indy\ Library [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^InterGET [OR]
RewriteCond %{HTTP_USER_AGENT} ^Internet\ Ninja [OR]
RewriteCond %{HTTP_USER_AGENT} ^Irvine [OR]
RewriteCond %{HTTP_USER_AGENT} ^JetCar [OR]
RewriteCond %{HTTP_USER_AGENT} ^JOC\ Web\ Spider [OR]
RewriteCond %{HTTP_USER_AGENT} ^larbin [OR]
RewriteCond %{HTTP_USER_AGENT} ^LeechFTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mass\ Downloader [OR]
RewriteCond %{HTTP_USER_AGENT} ^Microsoft.URL [OR]
RewriteCond %{HTTP_USER_AGENT} ^MIDown\ tool [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mister\ PiX [OR]
RewriteCond %{HTTP_USER_AGENT} ^Mozilla.*NEWT [OR]
RewriteCond %{HTTP_USER_AGENT} ^Navroad [OR]
RewriteCond %{HTTP_USER_AGENT} ^NearSite [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetAnts [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Net\ Vampire [OR]
RewriteCond %{HTTP_USER_AGENT} ^NetZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^NICErsPRO [OR]
RewriteCond %{HTTP_USER_AGENT} ^Octopus [OR]
RewriteCond %{HTTP_USER_AGENT} ^oegp [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Explorer [OR]
RewriteCond %{HTTP_USER_AGENT} ^Offline\ Navigator [OR]
RewriteCond %{HTTP_USER_AGENT} ^PageGrabber [OR]
RewriteCond %{HTTP_USER_AGENT} ^Papa\ Foto [OR]
RewriteCond %{HTTP_USER_AGENT} ^pavuk [OR]
RewriteCond %{HTTP_USER_AGENT} ^pcBrowser [OR]
RewriteCond %{HTTP_USER_AGENT} dloader(NaverRobot) [OR]
RewriteCond %{HTTP_USER_AGENT} ^RealDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^ReGet [OR]
RewriteCond %{HTTP_USER_AGENT} ^SearchExpress [OR]
RewriteCond %{HTTP_USER_AGENT} ^SiteSnagger [OR]
RewriteCond %{HTTP_USER_AGENT} ^SmartDownload [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperBot [OR]
RewriteCond %{HTTP_USER_AGENT} ^SuperHTTP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Surfbot [OR]
RewriteCond %{HTTP_USER_AGENT} ^Siphon [OR]
RewriteCond %{HTTP_USER_AGENT} ^tAkeOut [OR]
RewriteCond %{HTTP_USER_AGENT} ^Teleport\ Pro [OR]
RewriteCond %{HTTP_USER_AGENT} ^VoidEYE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Image\ Collector [OR]
RewriteCond %{HTTP_USER_AGENT} ^Web\ Sucker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebAuto [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebBandit [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebCopier [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebFetch [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebGo\ IS [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebLeacher [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebReaper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebSauger [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ eXtractor [OR]
RewriteCond %{HTTP_USER_AGENT} ^Website\ Quester [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebStripper [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebWhacker [OR]
RewriteCond %{HTTP_USER_AGENT} ^WebZIP [OR]
RewriteCond %{HTTP_USER_AGENT} ^Wget [OR]
RewriteCond %{HTTP_USER_AGENT} ^Widow [OR]
RewriteCond %{HTTP_USER_AGENT} ^WWWOFFLE [OR]
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]
RewriteCond %{HTTP_USER_AGENT} ^Zeus [OR]
RewriteCond %{HTTP_USER_AGENT} ^ZyBorg
RewriteRule ^.* - [F,L]

Spider-Trap

Die Spider-Trap sperrt Suchmaschinen-Bots aus, die sich nicht an robots.txt halten - das sind normalerweise Spambots.

Link: http://www.spider-trap.de/

Fazit

Die Kombination dieser verschiedenen Anti-Spam-Methoden zeigt in der Praxis gute Wirkung. Derartig abgesicherte Zikula-Seiten werden kaum von Spam betroffen.