Wer heutzutage einen WordPress-Blog betreibt, kommt ohne Captcha-Plugin bzw. Anti-Spam-Plugin nicht aus. An dieser Stelle einige Erfahrungen und Tipps. Im Mai gab es einen Erfahrungsbericht zu Antispambee und vor einem Jahr meine Gründe Akismet nicht mehr zu nutzen. Seitdem habe ich so manches Captcha ausprobiert.
Antispambee allein genügte nicht, so dass ich dieses Plugin in der Regel mit einem Captcha kombiniere. Damit hält sich der Spam, der noch durchgeht, halbwegs in Grenzen. Am ehsten kommen „echte“ Pingbacks von Seiten, die nur den excerpt zitieren, durch – aber das auszufiltern, ist halt was für Menschen. Dito händischer Kommentarspam.
Hier die mir bekannten Captcha-Plugins:
SI Captcha AntiSpam
Dies war das erste getestete Captcha-Plugin. Läuft zuverlässig. Nachteil: Bei jedem Update auf einem Webspace wie beispielsweise von all-inkl.de müssen die Verzeichnisrechte von wp-content/plugins/si-captcha-for-wordpress/captcha/temp neu auf 777 gesetzt werden. Nervig. Karikiert die WordPress-interne Updatefunktion, wenn ich doch per FTP ran muss. Wenn man den Pfad des temp Ordner in den Einstellungen des Plugins festlegen und ausserhalb des Plugins selbst wählen könnte, wäre es rundum empfehlenswert.
Download: http://wordpress.org/extend/plugins/si-captcha-for-wordpress/
Enmask Captcha
Eines der wenigen Captcha Plugins, die mit fünf Sternen bewertet sind. Hatte ordentliche Arbeit geleistet. Bis ich die Tage feststellte, dass in einem Blog, wo es eingesetzt wurde, keine Kommentare mehr abgegeben wurden und keine Pingbacks mehr ankamen. Und stellte fest, dass dieses Captcha nach Hause telefoniert und enmask.com nicht mehr erreichbar ist. Fünf Sterne? Disqualifiziert!
Gab Captcha 2
Auch dies ein Fünf-Sterne-Captcha. Und dazu eines, das statt auf dem klassische Captcha-Bild auf einem „leichten Turing-Test“ basiert. Bislang habe ich damit sehr gute Erfahrungen gemacht.
Download: http://wordpress.org/extend/plugins/gab-captcha-2/
BestWebSoft Captcha
Ca. viereinhalb Sterne für dieses Captcha, das auf Rechenaufgaben beruht. Läuft bislang bei mir ebenfalls problemlos, ist allerdings noch nicht mit WP Version 3.3 getestet. Arbeitet mit der Kontaktformular-Komponente des selben Herstellers zusammen.
Download: http://wordpress.org/extend/plugins/captcha/
Weitere Captcha-Lösungen
- Fünf Sterne besitzt Sweet Captcha. Allerdings muss man hier einen kostenlosen Account bei der entsprechenden Firma hinterlegen und ja, auch diese Lösung telefoniert nach Hause. Damit aus meiner Sicht untauglich, auch wenn es mit Contact Form 7 etc. zusammenarbeitet.
- Antesten würde ich auf jeden Fall mal Animal Captcha. Tierbilder statt hässlicher Zahlen (perfekt für Blogs von Tierliebhabern und Zoophilisten), dazu u.a. auch in deutscher Sprache und kompatibel mit MU. Zuletzt ausgewiesen für WP 3.1.4.
Natürlich gibt es noch zahlreiche weitere Lösungen – über Erfahrungen würde ich mich in den Kommentaren freuen. Eine Lösung – deren Namen ich leider vergessen habe – sorgte bei mir beispielsweise nach der Aktivierung auf WP 3.2 für weiße Browserfenster. Was ich als nächstes suche, wird ein Captcha-Plugin sein, bei ich ich selbst Fragen und Antworten vorgeben kann. Wenn es das noch nicht gibt, lass ich es entwickeln – ich hab da einige lustige Ideen 😉
Spam zu blocken ist teils echt Kompliziert, besonders wenn es Sinnvolle Kommentare erwischt. Was ich am meisten hasse sind unleserliche Captchas. Selbst wenn ich Captchas von bestimmten Seiten ran Zoome kann ich es einfach nicht entziefern. Ich finde es als Benutzer echt frustrierend wenn ich eine einfache Anmeldung nicht gebacken bekomme nur weil das Captacha unleserlich ist. Ich verstehe natürlich den Sinn und zweck des ganzen, aber man sollte sich nicht nur um den eigenen Schutz kümmern sondern auch die benutzerfreundlichkeit sollte da eine grössere Rolle Spielen.
[…] Kommentare dort nie erscheinen, weil auf Akismet gesetzt wird? Ich habe hier darauf hingewiesen und hier massig Alternativen aufgezeigt. Wenn ein Plugin saubere Kommentare sofort als Spam einordnet, nur weil sie von SEOs […]
Da hast du eine sehr schöne Liste für Blogbetreiber angelegt.
Aber als Blog-Leser-Sicht:
Ich bin als Nutzer schon ein paar Mal über Animal Captcha gestolpert – zumindet vermute ich, dass es dieses Plug In war. Dort musste man 2 Bilder von gleichen Tieren aus 6 Bilder heraussuchen. Ist es dieses?
Fand ich mal eine schöne Abwechslung. Habe aber auch kein Problem mit gut lesbaren Buchstabenreihen, aber wie Itchy schon schrieb – wenn man die Veri-Code 5x eingeben muss und immernoch nicht richtig liegt, dann stimmt irgendwas nicht. Das ist sowas von nervig, ich gehöre dann zu den Personen die es kein 6. mal mehr probieren (bzw, schon kein 3.mal), sondern mein Kommentar dann eben nicht auf diesem Blog erscheint. Finde ich für die Blogbereiber schade.
ich nerviger finde ich es allerdings, wenn man dann nicht mal ein neues Captcha laden kann, wenn man von vorneherein schon unsicher über einen Buchstaben ist. Ist zwar inzwischen sehr selten geworden, dass es diese Funktion nicht mehr gibt – aber wie gesagt. SEHR NERVIG.
Schön finde ich immer noch, wenn angegeben wird, ob Groß- und Kleinschreibung beachtet wird, ist eine Frage, die ich mir immer wieder stelle, wenn es nicht dabeisteht…
Ich finde es auch total nervig wenn ich den Captcha nicht erkennen kann und deswegen 3 – 4 mal refreshen muss. Ich schreibe auch immer mit Groß- und Kleinbuchstaben auch wenn es nicht verlangt wird aber sobald da nichts steht gehe ich lieber immer auf Nummer sicher!
Da finde ich die Animal Captchas auch eine angenehme abwechslung. Habe sowas auch erst einmal gesehen und das finde ich eine gute Lösung durch z.B. „Finde den Fehler im Bild“ oder so etwas sich einzuwählen!
Danke, ich habe auf meinem eigenen Blog immer wieder feststellen müssen, dass trotz Akismet manchmal Spam durchkam.
Ich werde diese Liste zum Anlass nehmen, an diesem Wochenende mal ein bisschen herum zu experimentieren.
Ein wirklich toller Beitrag mit persönlichen Meinungen die es mir wirklich leichter gemacht haben, zum einen einen überblick über mögliche Plugins zum anderen aber auch über deren Qualität zu bekommen. Vielen Dank für deine Hilfe!
Was mich am meisten stört ist die Aufmachung der meisten captcha plugins. Entweder kindisch, lieblos, affige Bilder, integrieren sich wie ein Stein in einer Glasscheibe – ich bin jetzt kein schickimicki, aber aktiviere mal das twenty eleven 1.3 theme unter wordpress, stelle auf schwarzes layout um und probiere dann mal die oben genannten captcha plugins: die meisten sind optisch zum weglaufen!
Deswegen habe ich mich in meinen blog für das BWS plugin „captcha“ entschieden – auch wenn ich mathematisch eine Null bin, aber eine einfache Rechenaufgabe kann man jemanden schon zutrauen.
Ich gehe sogar soweit zu schreiben, wer ein einfaches captcha nicht lösen kann, will ich vielleicht auch garnicht in meinen blog haben?! Auch eine Art „spamfilter“…
Ich bin schon über merkwürdige Captchas gestolpert. Grundsätzlich stört es mich nicht so arg, wenn man mal was nicht lesen kann, aber ich hasse Captchas, die man nicht neu laden kann. Da darf man dann so lange irgendwelchen Quatsch eingeben, bis mal was leserliches kommt.
Der normale Anmeldeablauf:
Daten sind eingegeben, beim Captcha vertippt–> sorry versuchs noch mal (najut ok)
Captcha neu eingegeben und es stimmt –> „Du hast kein Passwort angegeben“ (ah Mist, muss die Felder neu ausfüllen)
Daten eingetippt, Captcha stimmt –> „Bitte akzeptiere die AGB“ (-.-)
Daten eingetippt, Captcha stimmt, alle Haken gesetzt –> „Der Name ist leider schon vergeben“ (ARRRGHL, sagt das doch gleich!!!)
…und so weiter ^^
Doch, Captcha-Plugins sind absolut klasse und absolut empfehlenswert, allerdings sind diese bei vielen Blogbetreibern oftmals falsch konfiguriert, so dass das Captcha nicht zu sehen ist und man beim abschicken des Kommentars eine Fehlermeldung erhält, was natürlich schade ist.
Bei dem BWS-Plugin kommt bei meinem Blog ein 500-Fehler, wenn man die Captcha-Zahl vergisst. Hier bei diesem Blog kommt richtigerweise eine Seite, auf der eine Aufforderung steht, das Captcha einzugeben.
Wordpress-Blog und Plugin sind auf dem neuesten Stand. Aber irgendwas passt da nicht.
Ich muss leider sagen, dass das BestWebSoft captcha nicht mehr effektiv ist.
Spam kommt bei mir weiterhin durch. Man kann es nur selbst anpassen und etwas verändern, aber „out of the box“ ist es geknackt.
Ich hab das weiterhin. Klar, gibt es Captcha-Knacker, aber die gibt’s ja schon länger. Insofern nehm ich immer die Kombination aus Captcha plus Antispambee. Letztes muss natürlich auch ordentlich konfiguriert werden. Bei mir kommt jedenfalls keinerlei automatisierter Spam mehr durch, auf keinem meiner Blogs. Und gegen gut gemachten manuellen Spam hilft eh nur die direkte Begutachtung.
Allerdings muss ich sagen, ich hab das Captcha jetzt minimal verändert, und es ist wieder sicher. Es reicht eigentlich schon, im Quellcode der php-Datei ein bisschen kreativ zu sein. Der Parser der Spambots scheint recht dümmlich implementiert zu sein.
Das BestWebSoft Captcha hat 2 Probleme: Das Result, das es erwartet, ist schon beim anzeigen des Captchas im Quellcode der Seite hinterlegt. Und zwar im hidden field „cptch_result“. Es ist zwar verschlüsselt, aber scheinbar immer mit der gleichen Methode. Die Spam Bots müssen also nicht mal die Gleichung lösen, sie müssen nur das Ergebnis auslesen und dekodieren. Abhilfe schafft hier: Suche in der php Datei die Stelle, wo das Salt definiert wird und ändere ein paar Zeichen. Das sind bei mir die Zeilen 957 und 976, an denen beide ein identischer Salt stehen muss.
Problem 2, die tags für die Elemente sind auch immer gleich und damit leicht zu parsen. Abhilfe schafft hier die Werte „cptch_block“, „cptch_result“ mit einem Editor, der die Funktion „Finden und Ersetzen“ hat, gegen beliebige Ausdrücke zu ersetzen.
Damit sollte erstmal Ruhe sein. Ich fürchte nur, wenn genug Leute diese Ideen umsetzen, wird man sie auch wieder knacken. Also hoffen wir einfach mal, dass das hier niemand liest. ^^
Sorry, mir fällt gerade ein, dass die Zeilenangaben wahrscheinlich sinnlos waren, da ich das Plugin ordentlich frisiert habe! Suche also nach den zwei Zeilen mit der Defintion: „$Salt“.
Okay, Lösung im Quellcode ist nicht die sinnvollste Variante. Problem ist natürlich, wenn man deine Tipps anwendet, dass sie beim nächsten Update wieder weg sind… Hoffe ich also einfach mal, dass BestWebSoft hier Abhilft schafft. Aber wie gesagt: Läuft in Kombi mit Antispam Bee super 🙂
Ich fürchte eben nur, dass deine Spam-Freiheit (sei dir ja gegönnt :D) praktisch dann nur von Antispam Bee kommt, weil der Security-Layer des captchas einfach nicht mehr effektiv ist.
Nee, denn ich hab Antispam Bee auch schon allein betrieben, das hat nicht gereicht.
Wobei das Plugin seitdem natürlich auch verbessert wurde – und da der meiste Spam auf englisch reinkommt, helfen bestimmte Einstellungen natürlich enorm.
[…] der Vergangenheit hatte ich hier sowohl AntiSpam Bee als Spamschutz getestet als auch verschiedene Captcha-Plugins. Damals war Antispam Bee als Standalone nicht ausreichend. Aber hey, der Test war im Mai 2011, eine […]
Hey Frank,
also erstmal – richtig guter Blog. Kernig und Informativ ohne unnötiges BlaBla. Merci.
Eine Frage zu den Captcha Plugins: Wie checks du ob das Tool „nach Hause telefoniert“ ?
Hab gerade selber ein Probleme a lá Spam en Masse zu bearbeiten. Firmenblog – da spielt Datenschutz grundsätzlich eine wichtige Rolle.
Hi Robert, hab mittlerweile keine Captcha-Plugins mehr im Einsatz. Die sind mit Caching-Plungins kollidiert. Und nach längerer Lernphase und in der aktuellen Version reicht Antispambee dann auch als alleinige Lösung aus.
Ich verwende in meinem Blog eine Kombination aus Captcha und einem Spamfilter. Zusätzlich muss dann natürlich jeder Kommentar freigeschaltet werden. Bis jetzt ist noch kein Spamkommentar bis zur Moderation vorgedrungen, sondern wurde automatisch als Spam gekennzeichnet. Ich denke, Spam in den Blogkommentaren ist ein grosses Ärgernis für viele Blogger. Umso wichtiger ist es hier geeignete Massnahmen zur Eindämmung zu ergreifen.
I personally like using “Conditional Capchta” for my site Bilqees Kenchi because then it only shows to spammers. Less annoyance but the same amount of protection.
[…] für WordPress beschäftigen. Scheinbar gibt es da tatsächlich taugliche Lösungen, wie ich hier, hier und hier […]
Super informativer Beitrag. Ich finde, hier wurden die wichtigsten Möglichkeiten aufgezählt. Vielen Dank – grüße aus Berlin