Spam-Kommentare sind immer noch eine nervige Angelegenheit. Antispam Bee ist ein Plugin um dieses Problem zu lösen. Aber wie kann dieses Plugin konfiguriert werden, so dass möglichst wenig Spam durchkommt und wir nicht ständig mit Info-Mails belästigt werden?
Im Prinzip reicht dazu ein Blick in die Dokumentation. Der Text erklärt jede einzelne Konfigurationsmöglichkeit (plus ein paar Filter für die Entwickler unter euch). Aber der spannendste Teil steht erst ganz unten: Ein Artikel von Sergej Müller auf Google+, wo er Tipps & Tricks gibt zur Konfiguration.
Entscheidend für die Konfiguration des Plugins sind die ersten beiden Spalten. Hier die wahrscheinliche Ausgangszustand:
Genehmigten Kommentaren können wir vertrauen. Wenn wir explizit jemanden freigeschaltet haben, dann wird es sicher kein Spambot sein.
Gravatar nutzt sehr wahrscheinlich intern Akismet für die Spamprüfung und stellt somit quasi einen Spamschutz dar, daher können wir Kommentatoren mit Gravatar vertrauen, allerdings existiert so auch ein ähnliches Datenschutzproblem wie bei Akismet. Daher auf deutschen Sites nicht aktivieren.
Kommentarzeit berücksichtigen sorgt dafür, dass zu schnell (unter 5 Sekunden) abgesendete Kommentare ebenfalls als Spam angesehen werden. Der Wert ist per Hook steuerbar und kann bei schnell per Copy&Paste eingefügten Kommentaren aber schon mal ungewollt anschlagen. Zudem funktioniert diese Technik nicht bei gecachten Websites. Daher lieber nicht aktivieren.
BBCode als Spam einstufen sollte aktiviert sein, sofern kein Plugin installiert ist, welches BBCode in Kommentaren ermöglicht.
Die IP-Adresse des Kommmentators validieren ist wieder so eine kryptische Funktion. Die Funktion nimmt die IP-Adresse des Kommentators und löst sie zu einem Hostnamen auf, dann nimmt sie diesen Hostnamen und löst diesen wiederum zu einer IP-Adresse auf. Am Ende wird verglichen, ob die zu diesem Host gemeldete IP mit der ursprünglichen IP übereinstimmt. Die Idee wäre großartig, wenn es da nicht Techniken wie Load Balancer gäbe, die zu einem Hostnamen mehrere IP-Adressen (aka Rechner) haben, auf die sie Last der Anfragen verteilen. Da kann es passieren, dass unterschiedliche IPs ausgegeben werden. Daher diesen Punkt lieber deaktivieren.
Die vordefinierten Regulären Ausdrücke sind so etwas wie eine mit Variablen zusammengebaute Mustererkennung und sollten auf jeden Fall genutzt werden.
Der erkannte Spam sollte nicht gelöscht werden. Stattdessen aufbewahren und die lokale Spamdatenbank einbeziehen.
Öffentliche Spamdatenbanken können wir in Deutschland nicht nutzen, da wir eine IP-Adresse zur Prüfung schicken würden, was laut Datenschutzgesetz nicht erlaubt ist, da es sich bei einer IP-Adresse um eine personenbezogene Information handelt. Und die dürfen wir nur nach expliziter Einwilligung nutzen.
Damit die lokale Spamdatenbank auch befüllt wird, muss natürlich der erkannte Spam gekennzeichnet und nicht gelöscht werden.
Wer nicht regelmäßig im Adminbereich ist, kann sich bei Spam via E-Mail informieren lassen.
Damit wir lernen, welcher Filter wirklich etwas bringt (oder welcher false positives erzeugt) sollte der Spamgrund natürlich immer zum Kommentar mitgespeichert werden.
Damit die lokale Spamdatenbank nicht voll läuft kann der vorhandene Spam nach zum Beispiel 90 Tagen gelöscht werden. 3 Monate sollten die meist in Wellen kommenden Spamangriffe gut abfangen und danach kann die Datenbank von diesem Müll auch wieder automatisch bereinigt werden.
Wer keinen Wert auf Trackbacks oder Pingbacks legt, der kann beim nächsten Punkt die Aufbewahrung auch auf Kommentare beschränkeng und so Spam-Trackbacks/Pingbacks sofort löschen lassen.
Nun kommt der spannendste Punkt: Bei welchen Spamgründen lohnt sich ein direktes Löschen? Und was bedeutet „CSS Hack“ eigentlich?
Die Grundfunktionsweise von Antispam Bee ist folgende: Das WordPress-Kommentarfeld wird per CSS ausgeblendet und ein neues Feld mit einer kryptischen ID übernimmt die Funktion den Kommentartext aufzunehmen. Wird das per CSS versteckte Feld trotzdem ausgefüllt, dann handelt es sich in 99,9% der Fälle um einen Bot, denn ein Mensch sieht das Formular ja nicht.
CSS Hack meint in diesem Fall also „Programmiertrick mit CSS“ und hat nichts mit „gehackten Websites“ zu tun. 
Auch ein leerer Kommentar muss nicht zum Freischalten angeboten werden, sondern kann direkt gelöscht werden („Empty Data“).
So konfiguriert löscht Antspam Bee nun jeden leeren Kommentar und jeden Kommentar, der über das versteckte Feld gekommen ist, sofort. Die Wartung und Kontrolle wird so einfacher ohne, dass der Antispam-Schutz leidet.
Das Endergebnis sieht also in etwa so aus (je nach individuellem Setup auch leicht anders).
Du hast einen Tipp zu Antispam Bee oder Fragen zu den Einstellungen? Dann nutzt gerne fleißig die Kommentarfunktion dafür!