fuck the spammers

Da ich hier täglich um die 100 Trackback-Spams löschen darf, habe ich mich jetzt mal ein bisschen mehr mit Spambekämpfung befasst. Zuerst einmal läuft hier Simple Trackback Validation, was bei jeden eingehenden Trackback überprüft, ob auf der Herkunftsseite auch wirklich auf meine Seite verlinkt wird. Ist dies nicht der Fall, wird der Trackback nicht freigeschaltet und in der Datenbank als Spam markiert.

Weiter geht’s mit Akismet, ein wirklich geniales Plugin. Erkennt jeden Spamkommentar und filtert diese entsprechend aus. Als Spam markierte Kommentare und Trackbacks lassen sich dann per Klick massenlöschen.

So besteht mein tägliches Spambekämpfungsritual darin eben diesen Knopf zu drücken. “Akismet hat deine Seite vor 1,641 Spamkommentaren bewahrt.” Sehr gut.

Da die ganze Trackbackscheiße natürlich auch Traffic verbraucht habe ich noch mal ein bisschen nachgeforscht. Die Trackbacks scheinen von einem Programm zu kommen, dass sich als “TrackBack/1.02” ausgibt. Also warum nicht einfach diesen Useragent aussperren? Mit google hab ich dann diesen Blogeintrag gefunden. Also folgendes in die .htacces-Datei:

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^Java
RewriteRule ^.*$ - [F]
RewriteCond %{HTTP_USER_AGENT} TrackBack/1.02
RewriteRule ^.*$ - [F]

Java wird direkt mit geblockt, weil “Java/1.4.2_03” auch einige Male in den Logs aufgetaucht ist.

Ich hoffe die Spamflut legt sich jetzt langsam.

https zum letzten…

Ich habe mich jetzt schon lange Zeit mit HTTPS für dieses Blog herumgeschlagen. Da WordPress (leider) die URLs in der Config fest setzt ist immer nur HTTPS oder HTTP möglich. Das Plugin Force-SSL hilft einem dann, wenigstens alle die über eine nicht verschlüsselte Verbindung reinkommen umzuleiten.

Leider ist das auch nicht das gelbe vom Ei. Bei eingeschaltetem SSL funktionieren einige Sachen nicht mehr so wie sie sollten. Man kann selber keine Trackbacks setzen, Trackbacks auf die eigene Seite gehen auch ins Leere.

Ich hab mich jetzt davon abgewendet von einer permanenten Verschlüsselung Gebrauch zu machen. Das Plugin Secure-Admin hilft einem wenigstens das Backend sicher zu besuchen.

Wenn man sich jetzt einloggt (nicht nur als Admin) läuft das ganze über eine HTTPS Verbindung. Wunderbar.