Stundenlang haben wir an Artikel, widget und Gallerien gefeilt und dann registriert sich so ein Hotti und spammt alles zu! Danke! Eigentlich sollte Akismet die Spameinträge im blog fernhalten, zusätzlich hat man die dollsten Captcha’s eingebaut und die Passwörter sind auch ausgefuchst, aber trotzdem schaffen es unsere Freunde von der Spam Fraktion doch immer wieder, ihren geistigen Müll anzubringen.
Eine Ursache ist wohl die Registrierung im blog, denn die gerühmte Captcha Sicherheit ist schon längst im Nirvana! Wie sortiert man also Abonnenten heraus, die den Zugang doch nur zum spammen nutzen wollen? Und machen wir uns nichts vor: In der Mehrheit der Spam- Registrierungen sind nur Skripte dahinter, selten ein wirklicher Mensch. Also wie den blog absichern?
Auf wordpress.org finden wir rund 19 Tausend plugins, wobei die Suchfunktion auf der genannten Seite die Sache nicht wirklich vereinfacht und das Bewertungssystem auch nur rudimentär nutzbar ist. Und trotzdem: Ich gab einfach mal die Suchworte secure login und register ein und schaute mir die Ergebnis genauer an. Um es gleich zu sagen: Ich suchte nicht (!) das ultimative Captcha sondern öffnete mich auch für ganz andere Ansätze …
[UPDATE,11.09.2022] Als ich jetzt diesen Artikel übernahm, habe ich überlegt, ob er nach 10 Jahren überhaupt noch lesenswert ist. Ich gehe davon aus, dass sich in 10 Jahren einiges an technischer Entwicklung und (guter wie schlechter) Qualität getan hat. Somit kann dieser Artikel keine Referenz mehr sein. Allerdings denke ich, dass dieser Artikel doch noch einige Stichwörter geben kann, auf die auch bei aktuellen Plugins geachtet werden kann oder sollte.
Die Ansprüche
… waren relativ simpel. Die plugins sollten:
- die Spammer von der Registrierung im WP blog abhalten
- keine Programmierkenntnisse voraussetzen
- relativ aktuell sein
- kostenlos sein
- relativ schnell eingebaut sein
Und damit komme ich zu meiner Zusammenfassung dieser Reise in die Welt der WordPress plugins.
Verschiedene Ansätze
Interessant fand ich die verschiedenen Ansätze der Plugins die Registrierung zu sichern. Im Wesentlichen kann man die Ansätze im folgenden Text zusammenfassen:
- Es wird versucht, die vorhandenen Registrierungshürden zu erhöhen, z.B. höhere Anforderung an das einzugebende Passwort, Sicherheitsfragen (Are you human?), doppelte Bestätigung des Accounts durch den Abonennten.
- Es wird versucht, eine zweite Authorisierungs- Komponente einzubauen, z.B. mit einer Liste an Einmalpasswörtern.
- Es wird versucht, vorhandene und legitimierte Accounts die es an anderer Stelle gibt einzubinden, z.B. openID, Accounts von social communities und Mail- Providern.
- Es wird versucht, die eingegebenen Daten schon im Registrierungs- Vorgang auf seine Glaubwürdigkeit zu prüfen, z.B. Akismet, Spambee, WangGuard, also Server mit Schwarzen Listen, werden eingebunden.
- Es wird versucht, eine statische Filterung im Blog zu etablieren, z.B. Listen mit Usernamen oder Herkunfts- IPadressen, Verwarn- Mechanismen (wenn Du 3mal als spam markiert bist, dann …).
Plugins im Einzelnen
Wirklich sehr gut hat mir das BAW More Secure Login gefallen. Hierbei ist das Prinzip, dass bei einer Registrierung der Abonnent auch gleich eine Liste mit gültigen Keys zugemailt bekommt. Da er nun bei jeder Anmeldung aufgefordert wird, zusätzlich zum Passwort, einen Pin aus seiner Liste einzugeben, erscheint es sehr wahrscheinlich, dass maschinelle Spammer eher wegbleiben. Sollten die Pins mal knapp werden, kann der Admin oder auch der Abonnent (selbständig aus seinen Profil) eine neue Liste versenden. Insgesamt war dieses Plugin sehr schön in WP integriert und hat perfekt funktioniert. Wer seinen Abonnenten so eine Liste zutraut, findet in diesen Plugin die perfekte Umsetzung dieser Idee.
Das WP plugin Login Lock hat nicht wirklich etwas mit einer Registrierung im Blog zutun. Aber es bietet dem WP Admin eine einfache Möglichkeit, Passwortregeln festzulegen. Interessant fand ich die Möglichkeit, die Passwörter für alle Abonnenten in einen Rutsch zurück zu setzen, mit der Aufforderung an die Abonnenten, sich neue Passwörter zu geben. Zusätzlich bekommen die Abonnenten in ihren Profil einen Hinweis angezeigt, dass restriktivere Passwortregeln wirksam sind. Funktionierte hervorragend und integrierte sich super in WP.
Eine umfassende Sicherheitskonfiguration des WP blogs gab das plugin Better WP Security. Es war einfach zu nutzen und integrierte sich sehr gut in den blog. Allerdings muss einen klar sein, dass hier z.T. sehr tiefgreifende Änderungen gemacht werden. Aber gerade weil es auf die Mechanismen im Hintergrund ansetzt, ist es vielleicht auch das entscheidende Tool gegen eine skript steuernde spam Mafia.
Sehr gut hat mir auch Page Security by Contexture gefallen. Im Prinzip bietet es die Möglichkeit, die Abonnenten in verschieden Gruppen zu organisieren, diesen Gruppen gezielt Webseiten zu zu ordnen und entsprechende Hinweis- Seiten einzubinden, wenn Abonnenten versuchen, auf, für ihre Gruppe nicht freigegebene Inhalte, zuzugreifen. Ein produktives Beispiel wäre z.B. das auf einer Schulseite bestimmte Inhalte alle Schüler sehen, aber registrierte Besucher, also LehrerInnen oder Eltern, nochmal ganz andere Inhalte nutzen können. Damit ist vielleicht ein Ansatz gegeben, wenigstens bestimmte Inhalte zu sichern …
Ein sehr brauchbares tool zur Benutzerverwaltung war das plugin User Security Tools. Es bietet einfache Möglichkeiten Passwortregeln, Deaktivieren von Abonnenten und Steuerung der Loginversuchen (inklusive einrichten der Auszeit) einzurichten. Auch die Abonnenten- ID wird angezeigt. Zwar nicht wirklich ein Tool, welches direkt die Registrierung eines möglichen Abonnenten steuern kann, aber ein plugin, das mir gut gefallen hat.
Interessant fand ich eine ganz andere Sicherheitsüberlegung: Das Mitloggen von Tastatur Eingaben. Das die Aufzeichnung von Tastendruck möglich ist, sollte mittlerweile vielen Menschen bekannt sein. Das plugin WP-Login-Vkb bietet die Möglichkeit, an der Anmelde- oder Register Eingabe eine Tastatur einzublenden. Diese wird dann mit der Maus bedient und schon umgeht man die Tastatur als Hardware. Funktionierte im Test hervorragen und wenn man mit MDA Tastaturen umgehen kann – dann auch mit dieser.
Vorteilhaft würde ich es aus meinen Sicherheitsempfinden sehen, wenn man Abonnenten zwingen könnte, sich nur mit der Emailadresse anzumelden. Eine Überprüfung auf Spammer Aktivität wäre dann wohl leichter und eindeutiger, z.B. durch Akismet u.ä. durchzuführen. Das Plugin WP Email Login ergänzt die Anmeldung mit der Emailadresse am blog – schließt aber leider nicht die Anmeldung mit dem Anmeldenamen aus.
Ein anderes Kaliber ist das plugin LiberatID (erfordert auch XRDS-Simple). Dieses plugin bietet auf einer eigenen Webseite eine Benutzerverwaltung, die nach einer Registrierung des blogs, integriert werden kann. Dieses Angebot basiert auf OpenID. Allerdings fand ich das Handling und die Integration in den Blog etwas nervig – etwas mehr Zeit muss wohl investiert werden. Generell finde ich aber solche Ansätze gut, in denen zur Abonnenten Authorisierung bestehende “Telefonbücher” eingebunden werden. Die Hürde, dass ein blog Besucher schnell mal einen Kommentar ablegt, steigt enorm – immerhin muss sich der Besucher auch erst einmal bei einen solchen Telefonbuch registriert haben. Andernfalls ist das ja schon geschehen: Hunderte von Millionen Menschen haben einen Account bei google, facebook und twitter und diese Provider unterstützen OpenID. Inwieweit dieses Verfahren dann Spam Abonnenten verhindern kann, ist wahrscheinlich nicht wirklich vorhersagbar.
Ein plugin, dass ähnlich aufgebaut ist, heißt Minecraft Validator. Wie gesagt, alles hat seinen Schatten und sein Licht.
Betrachtet habe ich mir auch Peters Login Redirect. Dieses plugin bietet die Möglichkeit sehr differenziert – nach Benutzer, Rollen oder Ebenen – Anmeldungen umzuleiten. Denkbar wäre hier vielleicht ein Quarantäne Konstrukt, dass den neu registrierten Abonnenten (wenn man schon die Registrierung nicht verhindern kann) erstmal in einen besonderen blog Teil weiterleitet und nach einer “Bewährungszeit” in eine andere Rolle oder Ebene zuordnen läßt.
Unerwähnt soll auch nicht Secure WordPress (WebsiteDefender) bleiben. Es fügt sich ohne Probleme in WordPress ein und bietet mit seinen Standard Möglichkeiten (also ohne Registrierung) etwas blog Kosmetik in den WP scripten an. Ob mit der Registrierung beim Hersteller dieses Plugin mit seinen freigeschalteten Möglichkeiten dann der Burner ist, kann ich nicht einschätzen, aber die Liste in diesen Artikel bietet auch erstmal ausreichend Alternativen zum testen.
Aber mein Favorit bei dieser ganzen Sichtung ist WangGuard. Es ist als Konstrukt mit Akismet zu vergleichen, hat eigene Server, führt Listen und erfordert eine Registrierung. Ein Key wird in das plugin eingepflegt und schon werden Registrierungen mit dem Datenbestand der WangGuard Server verglichen. Zusätzlich bietet das plugin mit erklärenden Texten die Möglichkeit, sehr differenziert Domänen auf eine schwarze Liste zu setzen. Das Plugin fügt sich hervorragend in WordPress ein und die Registrierungs- Seite bei WangGuard ist auch für Admin Laien sehr überschaubar. Man merkt, dass es ein gut durchdachtes und für nicht-kommerzielle blogs kostenloses Produkt ist. Der Server steht übrigens laut Whois in Hongkong – wenn wir mal davon ausgehen, dass keine Regierung an diesen Projekt Interesse hat, so ist die Nähe zur fernöstlichen Spammer- Szene in diesem Falle vielleicht sogar vorteilhaft. Was klar sein muss: Dieses Produkt scheint noch nicht lange am Markt zu sein, daher könnten die Schwarzen Listen noch etwas kurz sein. Wer aber mal was anderes als Akismet und Spambee ausprobieren möchte, dem empfehle ich WangGuard.
The End
Damit schließe ich meinen Rundgang in die Welt der WP plugins. Klar ist sicherlich, dass alle Bewertungen, die ich hier gab aus einen Kurztest und persönlichen Vorlieben entstanden. Trotzdem hoffe ich, dass vielleicht doch einiges für den werten Leser dabei war – und wenn auch nur der Wunsch, wieder mal etwas am eigenen blog zu basteln.
Have fun
Comments