MediaWiki: Die wichtigsten Extensions gegen Spam
Gerade öffentliche Wikis kämpfen mit Spamattacken und Fakeaccounts. Geht es aber um Missbrauch offener Systeme, ist die Wikipedia am härtesten betroffen: Die Online-Enzyklopädie muss nicht nur massenweise leere Benutzer-Accounts und Werbebeiträge abwehren, ihr setzen auch unzählige Trolle und Vandalen zu.
Ohne technische Schutzmaßnahmen wären die Administratoren und Helfer der Wikipedia schnell überfordert. Deswegen gibt es gerade für die Software MediaWiki eine Vielzahl hilfreicher Erweiterungen, mit denen sich die Spammerei im Griff behalten lässt.
Wir haben hier die wichtigsten Erweiterungen und Maßnahmen zusammengeschrieben, mit denen man ungeliebtem elektronischen Müll loswerden und sogar präventiv entgegenwirken kann:
Abusefilter: Mit dieser sehr mächtigen Erweiterung können Aktionen einzelner Nutzer gesteuert werden; zum Beispiel das Bearbeiten von Artikeln. Es lassen sich auch automatisierte Reaktionen auf bestimmtes Nutzerverhalten einstellen. Dafür gibt es eine Vielzahl von Parametern, um die Funktion für Ihr Wiki anzupassen. Die Wikipedia-Konfigurationen des Abusefilters sind leider nicht verfügbar, um die Wirksamkeit der Abwehrmaßnahmen nicht zu beeinträchtigen. Außerdem sind die Filterfunktionen auf spezifische Erscheinungen in der Wikipedia abgestimmt und für andere Wikis nicht sinnvoll. Wer diese Erweiterung einsetzen will, muss sich ein wenig in ihre Logik einarbeiten und benötigt auf jeden Fall die Installation der Extension „AntiSpoof“.
Antispoof: Diese Erweiterung verhindert das Anlegen von Benutzerkonten mit gemischten Zeichensätzen, verwirrenden und ähnlichen Benutzernamen. Beispielsweise, wenn versucht wird denselben Nutzernamen noch einmal zu verwenden, nur mit dem Unterschied, dass Buchstaben aus anderen Sprachen verwendet werden (Beispiel: Andreas Johnasson und Andréas Jøhnasson).
Checkuser wurde entwickelt, um herauszufinden, ob ein angemeldeter Wikipedia-Benutzer als „Sockenpuppe“ missbräuchlich unter verschiedenen Account-Namen aktiv war, welche IP-Adressen er benutzt hat und ob einer IP-Adresse im fraglichen Zeitraum ein angemeldeter Benutzer zugeordnet werden kann. Benutzer, die in der „Checkuser“-Gruppe sind, können dabei die Zuordnung von IP-Adressen und Benutzernamen kontrollieren, ohne direkt auf die Datenbank zugreifen zu müssen.
Confirm Edit: Diese Extension gehört zu den sogenannten „Captchas“. Sie wurde entwickelt, um herauszufinden, ob das Gegenüber ein Mensch oder eine Maschine ist. Es prüft, ob Eingaben in Internetformularen über Menschen oder Maschinen (Roboter, kurz Bot) erfolgt sind. Dies ist wichtig, denn Roboter werden hier oft missbräuchlich eingesetzt, um zahlreiche neue Accounts und anschließend Einträge im Wiki automatisch zu erstellen. Je nach Einstellung muss der Nutzer eine Rechenaufgabe lösen, eine Buchstabenreihenfolge wiedergeben oder eine einfache Frage beantworten.
In Wikis verhindern Captchas vor allem zwei Dinge: Erstens, dass durch automatisierte Anmeldeversuche Passwörter geknackt werden und zweitens, dass Roboter unzählige Artikel einfach so bearbeiten können. Confirm Edit ist in Kürze fester Bestandteil des normalen MediaWiki-Releases.
Simple Anti-Spam richtet sich ebenfalls gegen Bot-Angriffe. Simple Anti-Spam ergänzt Artikel ganz einfach um ein Formularfeld. Dieses Feld ist für Menschen unsichtbar. Ein Bot dagegen erkennt das Feld und wird in der Regel das Formularfeld befüllen, wenn er einen Artikel anlegt. Ist das Formularfeld also ausgefüllt worden, weiß die Extension, dass es sich um einen Spam-Bot handelt und verhindert dann das Abspeichern des Artikels. Auch Simple AntiSpam wird fester Bestandteil des MediaWiki-Releases.
SpamBlacklist: Wird ein Artikel abgespeichert, so überprüft diese Erweiterung, ob in dem Artikel Links gesetzt wurden, die auf einer Blacklist stehen. Erkennt die Prüfung einen solchen Link, so ist es für den Nutzer unmöglich den Artikel abzuspeichern. So können u.a. „Werbeartikel“ verhindert werden.
Die Robotskonfiguration ist keine Erweiterung, sondern eine Maßnahme. Wikibetreiber können Bereiche vor Suchmaschinen schützen, indem sie die Datei „robots.txt“ anpassen. Das Skript zur Steuerung von Suchrobotern beruht auf dem Robots Exclusion Standard und befindet sich im Rootverzeichnis des Servers. Als Steuerungsdatei erlaubt oder verbietet sie Webcrawlern, Wikiseiten zu indexieren. Die Robotskonfiguration ist nötig, um den Datentraffic, der durch die Vielzahl von Webcrawlern verursacht wird, zu reduzieren oder um zu verhindern, dass Seitenversionen plötzlich bei Google gefunden werden.
Confirm Selected Accounts: Diese Erweiterung verhindert, dass Nutzer mit der E-Mailadresse eines bestimmten Providers (z. B. Spambog), einen Account anlegen können. Über die Listen CSABlacklist und CSAGreylist wird definiert, welche neuen Nutzeraccounts von vornherein „ausgesperrt“ und welche überprüft werden müssen. Die Blacklist verhindert dann zukünftig das Erstellen von Accounts, die einen E-Mail-Provider aus der Blacklist nutzen. Die Blacklist kann händisch erweitert werden. Zudem bietet die Erweiterung die Möglichkeit, die Liste von anderen Wikis mit der eigenen zusammenzuführen. Eine E-Mail-Benachrichtigung informiert über die zu bestätigenden neuen Accounts, die auf der Greylist gelandet sind. Administratoren können dann ganz bequem die neuen Accounts bestätigen oder ablehnen. Die Erweiterung stammt von Hallo Welt! und ist aktuell nur im Paket web security erhältlich. Hallo Welt! plant aber umgehend eine neuere Version frei verfügbar machen.
Zum Schluss noch zwei Hinweise:
- Es gibt den MediaWiki-Artikel Combating Spam,
- Die MediaWiki-Entwickler haben für den Release 1.22 „Anti-spam and countervandalism improvements“ auf die Roadmap gesetzt.
Und natürlich hilft Hallo Welt! gerne bei der Installation und Konfiguration Ihrer Anti-Spam-Extensions.
5 Kommentare
SC
2. November 2013
Danke! Hoffentlich werden diese Techniken bald auf http://www.sub-bavaria.de erfolgreich eingesetzt, dort nimmt die Flut von Spammer-Neuanmeldungen nämlich seit einiger Zeit drastische Ausmaße an….. Weiteres hierzu in https://www.facebook.com/subbavaria/posts/10151543896931958 , https://www.facebook.com/subbavaria/posts/604668906228220 und http://sensiblochamaeleon.blogspot.com/2013/10/help-spam-alarm-bei-sub-bavaria.html
Schobiz
7. Januar 2014
Tausend Dank für diesen Artikel!! Waren kurz vor Weihnachten bei http://www.wahl-wiki.de Opfer eines massiven SPAM-Angriffs (ca. 100 Fake-Accounts und 500 Seiten), trotz mathematischen Captchas. Solche Accounts und Seiten lassen sich übrigens mit der Extension „BlockAndNuke“ sehr elegant und auf einen Rutsch beseitigen :-))
In MW 1.21 lässt übrigens unter der Extension „ConfirmEdit“ das Captcha „Asirra“ (sehr hübsch, wie ich finde) die Editierung von Artikeln nicht zu. Abhilfe: Wie empfohlen die Extension „Asirra“ gesondert installieren. Allerdings muss dann in den LocalSettings.php die zu „ConfirmEdit“ gehörende Zeile durch require_once( „$IP/extensions/Asirra/Asirra.php“ ); ersetzt werden.
Schön sind auch die zahlreichen Einstellungsmöglichen:
Überspringen des Captchas für bestimmte Nutzergruppen, z.B. $wgGroupPermissions[’sysop‘][’skipcaptcha‘] = true;
Vorgeben, bei welchen Aktionen das Captcha anspringt, z.B. $wgCaptchaTriggers[‚create‘] = true;
Erleichterungen für vertrauenswürdige User, z.B.
# Don’t ask for a captcha for users with more than this number of edits.
$wgCaptchaTrustedThreshold = 20; // default 100
# Always reject edits adding new external links with less than this number of edits.
$wgCaptchaNewbieThreshold = 5; // default 5
Richard Heigl
7. Januar 2014
Hallo Schobiz,
danke für die Hinweise 🙂 Die geb ich auch gleich mal weiter!
Viele Grüße,
Richard
Pingback:Dokumentation mit BlueSpice for MediaWiki erstellen – Hinweise und Tipps für Online-Handbücher « Hallo Welt! Blog
Pingback:how to treat spam. | Sensiblochamaeleon's Blog