Der Versuch Spam zu verhindern

Das Wort "Versuch" in der Überschrift dieses Artikels ist sehr wichtig, denn es ist leider eine Tatsache das man gegen Spammer nicht gewinnen kann. Weil:

  • Spambots sehr schnell neueste Abwehrtechniken erlernen
  • Menschen als Spambots eingesetzt werden. Lesen Sie dazu folgenden Artikel über human spammers

 

Warnung! (nur für Joomla! 1.5):

Sicherheitseinstellungen sollten in in den Phoca Guestbook Einstellungen gesetzt werden ("Einstellungen" Button im Kontrollzentrum der Phoca Guestbook Administration). Auf Erweiterungen kann im Joomla! Frontend mit unterschiedlichen Item IDs zugegriffen werden, deshalb sollten Sie Sicherheitseinstellungen immer in den Phoca Guestbook Einstellungen und nicht in den Komponentenparametern des Menüeintrages gesetzt werden. Falls Sie Joom!fish benutzen, überprüfen Sie die Einstellungen des übersetzten Menüeintrages zu Phoca Guestbook in Joom!fish.

 

Welche möglichen Schutzmöglichkeiten bietet Phoca Guestbook:

  • Bestimmte ItemID - Normalerweise kann auf Erweiterungen im Joomla! Frontend mit unterschiedlichen Item IDs zugegriffen werden. Wenn Sie eine oder mehrere spezielle Item Id(s) setzen, können Gästebucheinträge nur noch duch die ausgewählten Menü Links gespeichert werden. (Item Id = Id des Menü Links). Das ist sehr sehr wichtig, weil es das Laden aller Gästebucheinträge, oder das Laden des Gästebuchformulars ohne Sicherungsmaßnahmen durch Spam Bots verhindert. Spam Bots nutzen verschiedene Item IDs um auf Joomla! Erweiterungen zu zugreifen.
  • Nur Registrierte Mitglieder - Wahrscheinlich die beste MethodeSpam zu verhindern ist, nur registrierte Benutzer (Mitglieder) können Gästebucheintrage hinterlassen
  • Inhalte überprüfen - Gästebucheinträge werden erst im Frontend angezeigt, wenn Sie vom Administrator überprüft und freigeschaltet wurden
  • E-Mail senden - Erhalten Sie eine E-Mail Benachrichtigung bei jedem neuen Gästebucheintrag
  • Verboten Wörter - Filter - Legen Sie verbotene Wörter, die nicht im Fronend angezeigt werden sollen, fest
  • Komplett Verboten Wörter - Filter - Legen Sie ganze, verbotene Wörter, die nicht im Fronend angezeigt werden sollen, fest
  • Post mit verbotenen Wörtern speichern - Legen Sie fest, ob Gästebucheinträge, die verbotene Wörter enthalten, trotzdem gespeichert werden sollen, oder nicht (falls 'Ja' werden die verbotenen Wörter versteckt)
  • IP bannen - you can ban different IPs
  • Maximale Zeichen - Legen Sie die maximale Anzahl von Zeichen, die in er Datenbank gespeichert werden, fest
  • Maximale Anzahl an URLs - Legen Sie die maximale Anzahl von URLs fest, die in einem Gästebucheintrag enthalten sein darf, Null (0) bedeutet, keine URL Links werden im Gästebucheintrag angezeig
  • Nicht erlaubte Top-Level Domains - Legen Sie Begriffe fest, die nicht erlaubte URLs in einem Gästebuch Eintrag identifizieren. Beispiel: ://,.htm,.asp,.jsp,.php,www.,.com,.org,.net
  • Captcha einschalten- Phoca Guestbook enhält vier unterschiedliche Captcha Methoden:
    • Standard Captcha
    • Math Captcha
    • TTF Captcha
    • reCAPTCHA Captcha
    • Die beste Möglichkeit Spam zu verhindern ist eine Kombination aus allen vier Methoden, weil bei jedem Aufruf eine andere Captcha Methode verwendet wird. - Vergessen Sie nicht, das auch Menschen spammen, deshalb kann Captcha allein kein Schutz sein.

Phoca Guestbook Captcha Methods

  • Akismet Spam Schutz aktivieren - besuchen Sie die Akismet Website um mehr Informationen zu bekommen (PHP 5 wird benötigt).
  • HTML Bereinigung einschalten - HTML Bereinigung ist eine standartkonforme HTML-Filterbibliothek, die jeden schädlichen Code (besser bekannt als XSS) mit Hilfe einer sorgfältig geprüften, sicheren und gleichzeitig toleranten Whitelist entfernen wird.
  • Sitzungs - Suffix - Legen Sie einen Suffix für Ihren Sitzungsnamen fest, um für Ihren Server unverwechselbar zu sein
  • verborgene Felder anzeigen - Einige Spam Robotter sind so programmiert, dass sie alle Felder eines Formulars ausfüllen, also auch die für Menschen unsichtbaren "versteckten Felder". Ein Gästebucheintrag indem auch versteckte Felder ausgefüllt sind, wird deshalb nicht dem Gästebuch hinzugefügt (seit Phoca Guestbook 2).
  • Erkennen der Eingangsseite - Aktivieren oder Deaktivieren der Erkennung der eingehenden Seite. Wenn Sie diese Option einschalten, wird die Seite von der der Eintrag in Ihr Gästebuch gemacht wurde gespeichert und im Backend angezeigt. Wenn der Eintrag über eine andere Seite als die Gästebuchseite kommt, bedeutet das, dass es ein Sicherheitsproblem auf Ihrer Seite gibt. Beispiel: Wenn Sie einen Menüeintrag zum Gästebuch erstellt haben, z.B. 'www.ihre_seite.com/guestbook' sollten alle Gästebucheinträge diese Eingangsseite haben. Wenn einige Einträge nicht diese Form haben (z.B. Spam-Einträge) sind sie über einen anderen als den 'legalen' Weg ins System gelangt. Beispiel: Menülink zu Ihrer Gästebuchseite: http://www.ihre_seite.com/guestbook

    Spam durch folgende Seiten zu bekommen bedeutet:

    1) Z.B. http://www.ihre_seite.com/guestbook - dieser Eintrag wurde im Gästebuch gemacht was bedeutet, es gibt kein Scherheitsproblem aber ein Roboter oder ein menschlicher Spammer sind in der Lage Spam über den Standardweg ins Gästebuch zu bringen - aktivieren Sie Captcha, Akismet, erlauben Sie nur registrierten Nutzern Gästebucheinträge zu machen, oder/und andere ober erwähnte Sicherheitsfunktionen.

    2) Z.B. http://www.ihre_seite.com/option=com_phocaguestbook&view=guestbook&id=... - der Roboter versucht Spam über die Standard (nicht SEF) URL Ihres Gästebuchs hinzuzufügen. Wenn Sie den Spezifische Inhalts-ID Parameter verwenden - die richtige ID des Menüeintrages zum Gästebuch, wir der Roboter nicht in der Lage sein auf dies URL zuzugreifen (Falls Ihre Seite nicht SEF verwendet)

    3) Z.B. Leerer Wert - wenn Sie den Erkennen der Eingangsseite Parameter aktiviert haben und er funktioniert zuverlässig und Sie erhalten jetzt einen leeren Wert bedeutet das, der Spameintrag ist über einen anderen Weg als den Standardweg in Ihr System gelangt. Z.B. - jemand verwendet eine andere Erweiterung um Werte in Ihre Datenbank zu schreiben, jemand kennt Ihren Datenbank Login, usw. In so einem Fall sollten Sie Ihre Joomla! Installation inklusive aller Erweiterungen überprüfen (und natürlich sollten Sie alle Passwörter ändern, usw.).

    Natürlich bedeutet das den "schlimmsten anzunehmenden Unfall" wenn jemand das Passwort und den Benutzernamen Ihrer Datenbank kennt, weil er/sie sehr einfach die eingehende Seite faken kann. In so einem Fall wird er/sie Spam direkt der Datenbank hinzufügen und anschließend den 'eingehende Seite' Wert faken. Das Überprüfen der Serverlogs sollte in dieser Situation helfen.

 

Die beste Methode ist, nur registrierten Benutzern (Mitgliedern) Gästebucheinträge zu erlauben. Falls das nicht möglich ist, benutzen Sie am Besten eine Kombination aus allen vier Captcha Methoden. Sie sollten regelmäßig Ihr Gästebuch überprüfen und sich über neue Gästebucheinträge per E-Mail informieren lassen.  Schalten Sie die HTML-Bereinigung und die verborgene Felder anzeigen Funktion ein. Zeigen Sie keine URLs in Gästebucheinträgen an.

Stand: 06.03.2019