Magento Spam Accounts – Fake Kundenkonten und Newsletter Anmeldungen
Leider wird der systematische Spam immer schlimmer. Hier ein paar Optionen wie bei Magento dagegen vorgegangen werden kann.
Die Magento Boardmittel sind dort recht bescheiden... Es gibt zwar eine Captcha-Funktion... Diese Captchas sind jedoch so schwer lesbar, dass der "echte Besucher" super Augen + wirklich gut sein muss um diese zu erkennen.
Google Captcha selbst einbauen
Google Captcha ist ziemlich genial. Anhand des Verhaltens des Users kann dieses Captcha erkennen ob es ein Bot ist oder nicht. Wenn das System glaubt es ist ein Bot, gibt es jedoch immer noch die Möglichkeit über Bilder sich als Mensch zu verifizieren. Somit ein für Besucher klasse System.
Das Problem ist jedoch der Einbau bei Magento. Ein simpler Einbau im Template reicht eben nicht aus. Weil dies können gängige Spam Bots einfach umgehen und das Formular abschicken unter ignorieren des Captchas.
Es muss daher größere Geschütze ausgefahren werden. Es ist nötig, dass der vom Captcha für Besucher/Spambots nicht sichtbare generierte Wert an das Magento Backend übertragen wird. Dann wird innerhalb von Magento abgeglichen ob der nur dem Captcha bekannte Wert auch mit dem übereinstimmt, der übermittelt wurde. Dann muss ein Spambot es wirklich schaffen Google Captcha zu knacken.
Googles Captcha wurde zwar auch bereits geknackt, aber wohl nur von spezialisierten Spambots und nicht von den "normalen". vgl. http://winfuture.de/news,96451.html
Google Invisible reCaptach Erweiterung um Spam in Magento zu verhindern
Wir sind aktuell dabei folgende Erweiterung durchzutesten. Diese macht zumindest von der Beschreibung eine brauchbare Form. Bei Erfahrungen gerne in die Kommentare.
Zur Erweiterung https://amasty.com/magento-google-invisible-captcha.html
Ob diese jedoch etwas taugt wissen wir noch nicht(!) Mehr Infos folgen. Bei Erfahrungen gerne in die Kommentare. (Macht einen super Job)
Anmeldung von E-Mails aus bestimmten Ländern blocken - Blacklist von Top-Level Domains
Weiter sind wir dabei folgende Erweiterung auszutesten. Diese erlaubt es basierend auf Regeln E-Mails zu blocken. Sodass die üblichen Verdächtigen erst gar nicht eigene E-Mails verwenden könne. Das ist aber hochgradig unsicher, weil ein Spambot natürlich beliebige E-Mail Absender eintragen kann.
zur Erweiterung https://amasty.com/email-blacklist.html
Auch ob diese Erweiterung wirklich etwas taugt und wie diese sich in der Praxis bewährt wissen wir noch nicht! Infos folgen. Bei Erfahrungen gerne in die Kommentare. (Macht einen super Job)
Geoblocking von ganzen Ländern basierend auf IPs
zur Erweiterung: https://www.mageworx.com/geo-lock-magento-extension.html
Weitere Möglichkeit ist das Geo-Blocking von stumpf ganzen Ländern aus denen der eigenen Shop mit Spam und Angriffen bombadiert wird. Jeder kennt dort die leider üblichen Verdächtigen.... Diese Methode ist äußerst eklig weil diese eigentlich "falsch" ist. Muss jedoch schlicht entscheiden ob der eigene Shop ständigen Angriffen ausgesetzt ist oder eben schlicht ganze Länder ausgeblockt werden.
Das hat zur Folge, dass keinerlei Traffic mehr aus den Länder durch kommt! Auf keinen Fall sollte somit die USA mit Google Bots geblockt werden.
Zum Thema Geoblocking und rechltih grasieren eine Gerüchte, dass es verboten ist... Soweit ich es als nicht Anwalt beurteilen kann betrifft das jedoch nur die EU! Die üblichen Verdächtigen sind jedoch keine EU-Länder und können dadurch wirkungsvoll geblockt werden (wenn kein Verkauf in die Länder geplannt ist) vgl. z.B. https://netzpolitik.org/2018/nein-die-eu-hat-geoblocking-nicht-komplett-abgeschafft/
Auf Verhalten basiertes Blocking - Rules, Firewall
Die eigentlich beste Variante ist das Blocken von IPs basierend auf Verhalten der IPs. So werden keine IPs fälschlicherweise geblockt oder generell unter Verdacht gesetzt. Die IPs die "Mist bauen" oder im Kollektiv z.B. unnsinnige Urls aufrufen werden direkt geblockt.
Leider gibt es bei Magento keine out of the Box Erweiterung dafür. Sollten Sie jedoch eine kennen, gerne in die Kommentare.
Update 03/2018
Alle 3 Erweiterungen haben wir im Einsatz und machen bisher einen guten Eindruck. Das Spamaufkommen wird deutlich gesenkt.
Update 04/2018
Hinweis auf Verhaltensbasierte Blocken eingefügt
Update 11/2018
Die Amasty free Erweiterung kostet nun leider je Shop. Aktuell 55€. Die sind es aber komplett wert, weil danach schlicht Ruhe ist. Super einfach zu installieren und auch einzurichten.
Update 08/2019
Die Amasty Google Captcha Erweiterung kostetn nun ca. 75€
Es gibt aber auch (noch von uns ungetestete) free Erweiterungen z.B.
https://magecomp.com/magento-google-recaptcha.html
2 Antworten