WordPress-Spam in 2024 stoppen (DSGVO-konform, Kommentare, Formulare, ohne Captcha)

blog dsgvo spam kommentare wordpress

Schnellübersicht

  • WordPress-Spam kann gestoppt werden, indem man Maßnahmen wie das Aktivieren eines Anti-Spam-Plug-ins (z. B. Akismet), das Einsetzen von CAPTCHAs und das Anfordern von Benutzerbestätigungen für Kommentare und Formulare einrichtet.
  • Um DSGVO-konform zu bleiben, solltest sicherstellen, dass die von dir eingesetzten Anti-Spam-Lösungen die Datenschutzbestimmungen einhalten, insbesondere bei der Verarbeitung von personenbezogenen Daten.
  • Es ist wichtig, regelmäßig deine Anti-Spam-Einstellungen und -Plug-ins zu überprüfen und zu aktualisieren, um sicherzustellen, dass du vor neuen Spam-Methoden geschützt bist und deine Maßnahmen weiterhin effektiv bleiben.

💡 Diese Anleitung existiert bereits seit 2020 und es musste in diesem Fall keine Anpassung vorgenommen werden. Spam wurde seitdem subjektiv zu 99,99 % verhindert.

Durch die starke Verbreitung von WordPress hält es sich wie bei Windows: Beide Systeme sind vielen Attacken ausgesetzt. Doch wie stoppe ich dann den Spam auf meiner Website durch Registrierungen, Kommentare und Kontaktformulare? Die große WordPress-Community liefert dazu einige erfolgreiche Möglichkeiten.

Hilfe gegen Spam-Kommentare

WordPress Kommentare ausschalten

Werden auf der Website keine Kommentare benötigt, kann die Funktion für zukünftige Beiträge deaktiviert werden. Eine der einfachsten Möglichkeiten, dies zu tun, besteht darin, einfach das Häkchen bei der Option „Personen das Verfassen von Kommentaren zu neuen Artikeln“ erlauben zu entfernen, die sich unter Einstellungen > Diskussion befindet. Achtung, das bezieht sich wirklich nur auf neue Beiträge. Alte Beiträge müssen dann händisch noch angepasst werden.

Kommentare können auch vollständig deaktiviert werden: Dazu gehe zum Abschnitt „Standard-Posting-Einstellungen“ im oberen Bereich des Bildschirms Diskussionseinstellungen und deaktiviere die Optionen.

Anonyme Kommentare ausschalten

Die nächste Möglichkeit, die du hast, ist, anonyme Kommentare abzuschalten. Bei anonymem WordPress-Kommentaren werden Besucher standardmäßig nach vier Informationen: Kommentar, Name, E-Mail und Webseite.

Sind anonyme Kommentare deaktiviert, werden Name und E-Mail zu Pflichtfeldern. Das verhindert die großen Spam-Versender allerdings nicht daran, gefälschte E-Mail-Adressen zu verwenden.

Um anonyme Kommentare in WordPress zu deaktivieren, aktiviere einfach die Option „Kommentarautor muss Name und E-Mail“ ausfüllen unter Einstellungen > Diskussion.

Kommentarmoderation aktivieren

Diese Einstellung ist grundsätzlich zu empfehlen. Niemand möchte ungeprüfte Kommentare in seinem Blog haben. Wer einen Blog betreiben möchte, sollte mit seinen Nutzern interagieren. Dazu gehört auch die Moderation, also in diesem Fall die Freigabe der Kommentare.

Folgende Einstellung muss dazu aktiv sein: „Bevor ein Kommentar erscheint“ > „muss der Kommentar manuell freigegeben werden“.

Kommentare von angemeldeten Benutzern zulassen

Eine weitere Einschränkung ist nur von registrierten Nutzern ein Kommentar zuzulassen. Dazu gibt es folgende Einstellung:

Abschnitt „Andere Kommentareinstellungen„. Aktiviere die Option „Benutzer müssen registriert und angemeldet sein„, um Kommentare abgeben zu können.

Per Plug-in ein Honeypot aktivieren

Mit den bisherigen Schritten wurden den Spammern diverse Hürden gesetzt. Allerdings lassen sich viele dieser Punkte umgehen. Es kann passieren, dass die Spam-Bots Registrierungen durchführen und alles sehr erfolgreich abschließen. Wie anfangs gesagt, sind die Entwickler bei WordPress schnelle Finger und passen sich recht schnell an.

In unseren Website-Projekten nutzen wir sehr effektiv das kostenlose WordPress Plug-in Honeypot Anti-Spam by Raiola Networks. Die Einrichtung ist denkbar einfach: Plug-ins > Installieren > Suchen > Aktivieren > Fertig.

Das war es schon? Ja. Das Plug-in aktiviert Honeypot-Felder, die für Menschen nicht sichtbar sind. Die Bots erkennen im HTML jedoch die Felder, füllen diese mit ihren Spam-Daten und landen in der Falle. Der Vorteil: Es gibt keine Hürde bei der Eingabe. Es wird keine Rechenaufgabe benötigt. Es muss kein Bild gelöst, kein Puzzle gemacht oder mit DSGVO-kritischen Lösungen (Google reCAPTCHA) gearbeitet werden. Voilà.

honeypot antispam wordpress statistik
Eine starke Statistik 🙂

Hilfe gegen Spam in Kontaktformularen

Honeypots helfen auch in Formularen. WordPress selbst bietet keine Funktion für Formulare an. Dafür werden häufig Plug-ins verwendet. Ein populäres Plug-in ist zum Beispiel Contact Form 7.

Honeypot für Contact Form 7 by Nocean

Honeypot for Contact Form 7 by Nocean ist ebenso eine effektive Methode. Auch hier werden sogenannte Honeypot-Felder in die Formulare integriert. Unterschied zur Kommentar-Lösung ist jedoch, dass Honeypot-Felder selbst in das Formular eingefügt werden müssen. Diese lassen sich aber relativ schnell einbinden.

effektiver schutz vor spam in wordpress kontakt formularen contact form7
Die Honeypot-Felder lauten in diesem Beispiel „website“ und „telefon“. Die Felder dürfen natürlich nicht mit sichtbaren Feldern identisch sein.

Akismet Anti-Spam & Antispam Bee by pluginkollektiv

Beide Plug-ins erfreuen sich wachsender Beliebtheit. Jedoch ist bei beiden eine Funktion integriert, die einen Abgleich von IP-Adressen durchführt. Während die Verarbeitung bei Akismet in den USA durchgeführt wird, findet dies bei Antispam Bee höchstwahrscheinlich in Deutschland statt.

Weitere Details über Antispam Bee gibt die Datenschutzerklärung auf der Entwicklerseite jedoch nicht her.

Falls du dich für Antispam Bee entscheidest, sollten du lediglich darauf achten, dass die drei Optionen „Öffentliche Spam-Datenbank berücksichtigen“, „Kommentare aus bestimmten Ländern blockieren“ und „Kommentare nur in einer bestimmten Sprache zulassen“ ausgeschaltet sind. Alle drei verarbeiten die IP-Adresse des kommentierenden Besuchers und sind damit nicht DSGVO-konform oder nur schwer in den Einklang zu bringen.

Disable Comments & weitere Plug-ins

Grundsätzlich werden viele Erweiterungen für WordPress das Rad nicht neu erfinden. Wie sich weitere Plug-ins verhalten, haben wir nicht weiter geprüft, da obige Varianten bereits gut funktionieren und unseren Ansprüchen 100 % entsprechen.

Captchas (Google reCAPTCHA & Co)

Bei Captchas handelt es sich um kleine Aufgaben, die gelöst werden müssen. Eigentlich kennt sie jeder und niemand hat Lust auf diese Erweiterungen. Es gibt Puzzle, Rechenaufgaben oder andere Bilderrätsel.

Bekannt ist Google reCAPTCHA. Hier handelt es sich aber um einen US-amerikanischen Betrieb und Stand heute ist eine Datenverarbeitung nur dann erlaubt, wenn die Daten verschlüsselt, übermittelt und aufbewahrt werden und der Dienstanbieter keine Möglichkeit zur Verarbeitung persönlicher Daten hat.

Eine solche Einrichtung ist deutlich aufwendiger als die erfolgreich getesteten Honeypot-Funktionen. Wir raten aufgrund der einfachen Einbindung von Honeypots ganz klar von Google reCAPTCHA ab.

6 Meinungen zu “WordPress-Spam in 2024 stoppen (DSGVO-konform, Kommentare, Formulare, ohne Captcha)

  1. Avatar
    Christine D. sagt:

    Wenn eine reale Person pro Tag 50 Kommentare in diversen WP-Blogs abgibt, merkt das Akismet? Oder ist das nur ein Abgleich mit einer Riesendatenbank, wo nur Spam-Bots landen?

    • Vincent Rammelt
      Vincent Rammelt sagt:

      Also laut Plugin-Beschreibung steht dort: „Akismet macht eine Gegenprüfung deiner Kommentare und Kontaktformular-Übermittlungen mit unserer globalen Spam-Datenbank, um zu verhindern, dass deine Website böswillige Inhalte veröffentlicht. Du kannst den Kommentar-Spam überprüfen, der unter dem Admin-Bildschirm „Kommentare“ deines Blogs erfasst wird.“

      Wonach genau der Spam bewertet wird, lässt sich wahrscheinlich nicht beantworten. Denn die Antwort bedeutet: Spammer passen sich an diese Antwort an und das Spiel geht von vorne los.

      In der Datenbank landet meiner Meinung nach alles. Deswegen ist es bei Betrachtung der DSGVO hochgradig gefährlich dieses Plug-in zu nutzen, weil es dem Admin einen Haufen Recherche-Arbeit bringt. Daher nutze ich nur Honeypot-Felder und das sehr erfolgreich.

  2. Avatar
    Verena sagt:

    Seit ein paar Tagen trudelten gefühlt minütlich die Spam-Kommentare ein. Dann habe ich Deinen Artikel gefunden und das Honeypot-Plugin installiert. Und sofort war die Spamflut gestoppt. Danke Dir für den Tipp!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert