Kommentar-Spam ist eine der lästigsten Erscheinungen in Blogs und Content-Systemen. Auch wenn man das Kommentarformular im Frontend ausblendet, bleibt der WordPress-Kommentar-Endpunkt (wp-comments-post.php) standardmäßig aktiv – und kann direkt angesteuert werden.
Ich erkläre dir die Details und wie du Kommentar-Spam vermeidest.
Zur Veranschaulichung, wie du einen Kommentar mittels curl erstellst:
Ein einfacher Weg, um zu testen, wie Kommentar-Spam funktioniert, ist ein Aufruf per curl. Damit kannst du – unabhängig vom sichtbaren Formular – direkt einen Kommentar an WordPress senden:
curl -X POST https://example.com/wp-comments-post.php \
-H "Content-Type: application/x-www-form-urlencoded" \
-d "author=Max Mustermann" \
-d "email=max@example.com" \
-d "url=https://example.com" \
-d "comment=Dies ist ein Testkommentar per curl." \
-d "comment_post_ID=123" \
-d "comment_parent=0"Anstatt der Domain example.com in der ersten Zeile musst du deine WordPress-Domain verwenden.
author, email, url und comment scheinen dann im Kommentar auf.
Die comment_post_ID ermittelst du, indem du im WordPress Backend auf Beiträge>Alle Beiträge gehst und dann mit der Maus über die Überschrift eines Beitrags fährst. In der Fußzeile des Browsers steht dann folgende Adresse: https://www.example.com/wp-admin/post.php?post=5&action=edit. Der Wert nach post= entspricht comment_post_ID. Alternativ kannst du auch einen Rechtsklick auf die Überschrift des Beitrags machen und Link Adresse kopieren auswählen.
Solche Aufrufe können leicht automatisiert werden – von Bots, Skripten oder sogar versehentlich von legitimen Tools.
Einfache Lösung: Registrierungspflicht für Kommentare
Ein wirksamer und unkomplizierter Schutz besteht darin, das Kommentieren nur registrierten Nutzern zu erlauben.
Setze dazu einfach in WordPress unter: Einstellungen>Diskussion einen Haken bei »Benutzer müssen registriert und angemeldet sein, um kommentieren zu können«.
Damit läuft jeder automatisierte Spamversuch ins Leere – denn ohne gültiges Login wird der Kommentar nicht angenommen, auch wenn die POST-Daten korrekt sind.
Jetzt gilt es nur noch die Seite zur Benutzerregistrierung abzusichern.
Dazu empfehle ich das Simple Cloudflare Turnstile-Plugin.
Mit diesem Plugin kannst du die Seite für die Benutzerregistrierung vor Spambots schützen.
Optional: Weitere Schutzmaßnahmen
Für noch mehr Sicherheit kannst du zusätzlich:
- Die Benutzerregistrierung unter Einstellungen>Allgemein>Mitgliedschaft deaktivieren.
- Die Datei wp-comments-post.php mit einem Plugin oder .htaccess-Regel sperren.
- Kommentare generell deaktivieren, falls du sie nicht brauchst.
Fazit
Auch wenn kein Formular sichtbar ist, bleibt der Kommentar-Endpunkt bei WordPress aktiv. Mit einem einfachen curl-Befehl lässt sich das nachvollziehen – und auch ausnutzen.
Ein effektiver Schutz gegen diese Art von Spam ist schnell eingerichtet: Registrierungspflicht für Kommentare. Damit lassen sich viele automatisierte Angriffe elegant abwehren – ohne Plugins oder komplexe Maßnahmen.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.