Homepage selbermachen 7.852 Themen, 35.619 Beiträge

Drupal und Spambots

torsten40 / 7 Antworten / Baumansicht Nickles

Hi,
ich hab eine kleine private Seite für meine Freunde und mich am laufen.
Als CMS habe ich mich für Drupal entschieden.
Nun habe ich bei der Einrichtung mir auch Gedanken über die Spambots gemacht, die kommen werden. Dazu habe ich mich für das Modul Captcha zusammen mit Image Captcha (refresh) entschieden. Alternativ stand noch das Google Captcha, aber ich wollt nicht jedes Mal einen Kryptographen anrufen, um den Captcha zu entziffern.

Jetzt haben sich aber 5 Spambots anmelden können, und einer davon setzte einen Post ab. Daher frage ich mich, ob es da vielleicht etwas besseres gibt, ausser Googles Captcha?
Ich will da jetzt auch nicht 1000 Module installieren, die Sicherheit hierdurch wieder gefährden, in der Hoffnung, das eins vielleicht besser sein könnte. Also kennt vielleicht wer eine bessere alternative?

Und noch eine kleine Frage hinterher, kennt jemand das Advance Forum als Modul. Das Interne Forum von Drupal ist ja nicht so der Bringer.

Danke

Freigeist
bei Antwort benachrichtigen
angelpage torsten40 „Drupal und Spambots“
Optionen

Bots sind über ihre IP-Adressen, fast immer auch über ihre Namen identifizierbar.

Eine einfache Variante, diese Bots auszusperren, nachdem sie über das Logprotokoll eindeutig identifiziert wurden, ist mit der ".htaccess" möglich, die Bestandteil jeder Internetpräsenz, egal, ob CMS, HTML usw. sein sollte.

Als Forum kann ich das kostenlose Disputa-Forum, das sogar völlig ohne MySQL-Datenbanken funktioniert und in der kostenpflichtigen Form auch völlig individuell bearbeitet werden darf, empfehlen. Schau mal das Disputa-Muster-Forum und einige individuelle Referenzforen dort an. Meine einfache, aber effektive Variante findest du auf http://www.angelpage.de .

Bezüglich Drupal incl. integriertes Forum empfehle ich dann aber doch eher die massenhaften Communities speziell zu diesem CMS.

bei Antwort benachrichtigen
torsten40 angelpage „Bots sind über ihre IP-Adressen, fast immer auch über ihre ...“
Optionen
Bots sind über ihre IP-Adressen, fast immer auch über ihre Namen identifizierbar.
Dummerweise habe ich die IP Speicherung in Drupal abgestellt, ala wir-speichern-nicht. Diese Funktion hab ich erstmal wieder angestellt, und schauen ob und wann der wieder kommt.

.htaccess habe ich nachgeholt.

Ein Forum ohne Datenbank ist schon durchaus interessant, da ich bei dem Webhoster nur eine begrenzte Anzahl an Datenbanken zur Verfügung habe. Speicherplatz hingegen habe ich zu genüge. Allerdings glaube ich auch nicht, dass die Anzahl der Datenbanken jemals voll bekomme.

Bezüglich Drupal incl. integriertes Forum empfehle ich dann aber doch eher die massenhaften Communities speziell zu diesem CMS.
Ich war auch erst am überlegen, in einem Drupalforum zu fragen, aber dann muss ich mich erst anmelden usw. Da wollt ich erst hier mein Glück probieren, und brachte mich auch schon weiter :)

Freigeist
bei Antwort benachrichtigen
angelpage torsten40 „Dummerweise habe ich die IP Speicherung in Drupal ...“
Optionen

Woher kennst du dann die Anzahl der Besuche/Aufrufe und dass es böse "Bots" sind? - Auch jeder solide Hoster von 1blu bis 1und1 hält Statistiken bereit, Google Analytics kann auch helfen.

Die Abwehr von Fake-Accounts und Spameinträgen ist ein anderes Problem. Auch dagegen gibts aber immer Maßnahmen, z.B. Bestätigung der Mitgliedschaft durch den Webmaster (vorher überhaupt kein Eintrag möglich), Sperrung aller typischen Spam-Domains (mail.ru bis gmx und web.de, manuell eingetragen mittels PHP oder aber per Spam-Listen), Erzwingen der Vorschau vorm Senden, Bestätigung der Beiträge und Kommentare durch den Webmaster, Badword-LIsten, Wiederholsperren (nach Zeit, nach IP), Captcha, Einsatz von  Bots-Trap, Spamicide usw. usf. - ist ein ganzes Hobby, das dich lange Zeit beschäftigen kann und sogar auch Spaß macht.




bei Antwort benachrichtigen
torsten40 angelpage „Woher kennst du dann die Anzahl der Besuche/Aufrufe und dass ...“
Optionen

Wenn die Bots nur zur Besuch kommen, ist es mir eigentlich egal. Die Bots erkenn ich im Benutzermenu an den Namen, und der benutzen E-Mail.
Die Anzahl kenne durch einen Counter. Der PHP Code setzt ein Cookie für 3 Stunden, und speichert die Anzahl in einer *.txt.
Danke für den Tipp mit den Statistiken, da habe ich vorher gar nicht so drauf geachtet. Interessant ist der vermehrte Zugriff aus Litauen, da wird ich ein Auge drauf halten.
Google Analytics, das Webmaster Tool usw da habe ich mich auch schon mit beschäftigt, allerdings will ich das zu diesem Zeitpunkt noch nicht. Jetzt wo das ganze grad entsteht, lege ich keinen großen Wert da drauf von Google gefunden zu werden.

Über Sperren jeweiliger Email Dienstleister hab ich mich auch informiert, bzw wie man Bots allgemein abwehrt, und welche verschiedenen Möglichleiten man da hat. Das habe ich bisher flüchtig überflogen. Im laufe der Tage, ich denke zu morgen, hab ich über verschiedene Möglichleiten richtig informiert, und suche die für mich beste alternative heraus, und schaue es mir genauer an.
Da das ganze eigentlich nur eine kleine Gruppe zugänglich sein soll, bin ich ach am überlegen, einfach eine PHP Authentifizierung zu setzen, ähnlich wie hier
http://php.net/manual/de/features.http-auth.php
User und PW kann ja ruhig in der Source zu finden sein, es soll ja nur Bots fernhalten.
Aber überall die Dinge muss ich mich erst einlesen

Generell wird wohl wie überall sein, egal welchen Schutz man hat, man darf sich nicht ausruhen, da es irgendwann überlistet wird.

Für den Counter verwende ich:

<?php
session_set_cookie_params(10800); session_start();

$datei = fopen("counter.txt","r+"); $counterstand = fgets($datei, 10);

if(!isset($_SESSION['counter_ip']))    {    $counterstand++;    rewind($datei);    fwrite($datei, $counterstand);    $_SESSION['counter_ip'] = true;    }

echo $counterstand; fclose($datei);

?>
http://www.php-einfach.de/tuts_php_counter.php

Aufjedenfall hab ich schon eine menge Anregungen bekommen, wie ich was wo anfange .

 

Freigeist
bei Antwort benachrichtigen
mumpel1 torsten40 „Drupal und Spambots“
Optionen

Hallo!

Du könntest ein verstecktes Eingabefeld einbauen, welches aber nicht ausgefüllt werden darf. Das Ausblenden erfolgt über CSS (Stichwort: nosee). Spambots werden es aber trotzdem ausfüllen. Daran kannst Du es erkennen und das Eintragen damit verhindern. Und damit auch Nutzer von Screenreadern und bei deaktivierten CCS das Feld nicht ausfüllen, musst Du einen entsprechenden Anzeigetext beim versteckten Eingabefeld anbringen. Über Google findest Du Beispiele dazu.

Gruß, René

bei Antwort benachrichtigen
torsten40 mumpel1 „Hallo! Du könntest ein verstecktes Eingabefeld einbauen, ...“
Optionen

Das ist ne coole Idee. Ich wollt mir das ganze jetzt am WE nochmal alles angucken, hatte vorher einfach keine Zeit.

Danke für den Tipp

Freigeist
bei Antwort benachrichtigen
torsten40 mumpel1 „Hallo! Du könntest ein verstecktes Eingabefeld einbauen, ...“
Optionen

Es ist  gar nicht so einfach Informationen zu .nosee zu bekommen. Haber aber einige Seiten, und leicht verständliche Tutorials gefunden.
Danke für den Tipp, dass ist echt brauchbar.

Freigeist
bei Antwort benachrichtigen