0511 - 165 883 20 (Festnetz - Mo bis Fr von 10 bis 17 Uhr) info@konvis.de Hannover
Magento Spam Accounts – Fake Kundenkonten und Newsletter Anmeldungen

Magento Spam Accounts – Fake Kundenkonten und Newsletter Anmeldungen

Leider wird der systematische Spam immer schlimmer. Hier ein paar Optionen wie bei Magento dagegen vorgegangen werden kann.

Die Magento Boardmittel sind dort recht bescheiden... Es gibt zwar eine Captcha-Funktion... Diese Captchas sind jedoch so schwer lesbar, dass der "echte Besucher" super Augen + wirklich gut sein muss um diese zu erkennen.

Google Captcha selbst einbauen

Google Captcha ist ziemlich genial. Anhand des Verhaltens des Users kann dieses Captcha erkennen ob es ein Bot ist oder nicht. Wenn das System glaubt es ist ein Bot, gibt es jedoch immer noch die Möglichkeit über Bilder sich als Mensch zu verifizieren. Somit ein für Besucher klasse System.

Das Problem ist jedoch der Einbau bei Magento. Ein simpler Einbau im Template reicht eben nicht aus. Weil dies können gängige Spam Bots einfach umgehen und das Formular abschicken unter ignorieren des Captchas.

Es muss daher größere Geschütze ausgefahren werden. Es ist nötig, dass der vom Captcha für Besucher/Spambots nicht sichtbare generierte Wert an das Magento Backend übertragen wird. Dann wird innerhalb von Magento abgeglichen ob der nur dem Captcha bekannte Wert auch mit dem übereinstimmt, der übermittelt wurde. Dann muss ein Spambot es wirklich schaffen Google Captcha zu knacken.

Googles Captcha wurde zwar auch bereits geknackt, aber wohl nur von spezialisierten Spambots und nicht von den "normalen". vgl. http://winfuture.de/news,96451.html

Google Invisible reCaptach Erweiterung um Spam in Magento zu verhindern

Wir sind aktuell dabei folgende Erweiterung durchzutesten. Diese macht zumindest von der Beschreibung eine brauchbare Form. Bei Erfahrungen gerne in die Kommentare.

magento-spam-google-invisible-reCaptcha-Amastay-magento-1-9

Zur Erweiterung https://amasty.com/magento-google-invisible-captcha.html

Ob diese jedoch etwas taugt wissen wir noch nicht(!) Mehr Infos folgen. Bei Erfahrungen gerne in die Kommentare. (Macht einen super Job)

Anmeldung von E-Mails aus bestimmten Ländern blocken - Blacklist von Top-Level Domains

Weiter sind wir dabei folgende Erweiterung auszutesten. Diese erlaubt es basierend auf Regeln E-Mails zu blocken. Sodass die üblichen Verdächtigen erst gar nicht eigene E-Mails verwenden könne. Das ist aber hochgradig unsicher, weil ein Spambot natürlich beliebige E-Mail Absender eintragen kann.

magento-email-blacklist-erweiterung-amasty

zur Erweiterung https://amasty.com/email-blacklist.html

Auch ob diese Erweiterung wirklich etwas taugt und wie diese sich in der Praxis bewährt wissen wir noch nicht! Infos folgen. Bei Erfahrungen gerne in die Kommentare. (Macht einen super Job)

Geoblocking von ganzen Ländern basierend auf IPs

Magento Geo Lock Extension Mageworx

zur Erweiterung: https://www.mageworx.com/geo-lock-magento-extension.html

Weitere Möglichkeit ist das Geo-Blocking von stumpf ganzen Ländern aus denen der eigenen Shop mit Spam und Angriffen bombadiert wird. Jeder kennt dort die leider üblichen Verdächtigen.... Diese Methode ist äußerst eklig weil diese eigentlich "falsch" ist. Muss jedoch schlicht entscheiden ob der eigene Shop ständigen Angriffen ausgesetzt ist oder eben schlicht ganze Länder ausgeblockt werden.

Das hat zur Folge, dass keinerlei Traffic mehr aus den Länder durch kommt! Auf keinen Fall sollte somit die USA mit Google Bots geblockt werden.

Zum Thema Geoblocking und rechltih grasieren eine Gerüchte, dass es verboten ist... Soweit ich es als nicht Anwalt beurteilen kann betrifft das jedoch nur die EU! Die üblichen Verdächtigen sind jedoch keine EU-Länder und können dadurch wirkungsvoll geblockt werden (wenn kein Verkauf in die Länder geplannt ist) vgl. z.B. https://netzpolitik.org/2018/nein-die-eu-hat-geoblocking-nicht-komplett-abgeschafft/

Auf Verhalten basiertes Blocking - Rules, Firewall

Die eigentlich beste Variante ist das Blocken von IPs basierend auf Verhalten der IPs. So werden keine IPs fälschlicherweise geblockt oder generell unter Verdacht gesetzt. Die IPs die "Mist bauen" oder im Kollektiv z.B. unnsinnige Urls aufrufen werden direkt geblockt.

Leider gibt es bei Magento keine out of the Box Erweiterung dafür. Sollten Sie jedoch eine kennen, gerne in die Kommentare.

Update 03/2018

Alle 3 Erweiterungen haben wir im Einsatz und machen bisher einen guten Eindruck. Das Spamaufkommen wird deutlich gesenkt.

Update 04/2018

Hinweis auf Verhaltensbasierte Blocken eingefügt

Update 11/2018

Die Amasty free Erweiterung kostet nun leider je Shop. Aktuell 55€. Die sind es aber komplett wert, weil danach schlicht Ruhe ist. Super einfach zu installieren und auch einzurichten.

Update 08/2019

Die Amasty Google Captcha Erweiterung kostetn nun ca. 75€

Es gibt aber auch (noch von uns ungetestete) free Erweiterungen z.B.

https://magecomp.com/magento-google-recaptcha.html

 

Magento
2 Kommentar
, ,

Geschrieben von

Mitgründer von KonVis, Wirtschaftsinformatiker (FH) - Spezialisiert auf Magento Shops, SEO Beratung und Online Marketing

Zeige alle Artikel von:

Ähnliche Artikel

2 Antworten

  1. Petronas
    Hallo, hatten Sie denn Probleme bei der Konfiguration? Ich habe diese Extension ebenfalls ausprobiert. Habe Sie nach der Anleitun installiert, was ja nicht besonders umständlich war. Den Chache gellert, erneut ins Backend eingeloggt und dann unter Kundenkonfiguration beim Email Filter meine-test@adresse.de eingegeben, die Dropdown Menüs "Use filters for customer profile e-mail" und "Use filters for guest checkout e-mail" auf JA belassen, gespeichert und nochmal Chache gellert. Danach habe ich die Benutzerregistrierung aufgerufen und einen neuen Benutzer mit der Emailadresse meine-test@adresse.de registriert. Funktionierte ohne jede Fehlermeldung und die Bestätigung kam auch an. Heißt also, die Extension funktioniert nicht. Warum, keine Ahnung. Viel falsch machen kann man ja nicht bei der Installation.
    Antworten
    Mai 23, 2018
    • Martin Steudter
      Hallo, das verlief bei uns ohne Probleme. Jedoch habe ich den Filter auch auf die Top-Level Domain gesetzt z.B. “*.de”. Aber nicht auf eine E-Mail. Ich weiß nicht ob die überhaupt einzelne E-Mails blocken kann. Laut Anleitung nur Top-Level Domains, Domains usw. Das klappte anhand der Anleitung aber alles problemlos. Evtl. sonst nochmal die Anleitung durchschauen https://amasty.com/email-blacklist.html Grüße
      Antworten
      Mai 23, 2018
  2. Magento 1.9 Lösung - Spam über Merkliste/Wunschzettel teilen Funktion - google Captcha // Mails an @qq.com | KonVis.de
    […] Amasty google invisible reCaptcha Funktio (vgl. Blog Post) ist es […]
    Antworten
    Oktober 18, 2018

Einen Kommentar schreiben

    Wie können wir Ihnen weiterhelfen?

    Internetagentur Hannover Magento Programmierer Berater

    Martin Steudter
    E-Commerce Berater
    und Projektleiter

    0511 - 165 883 20

    martin.steudter
    @konvis.de



    Mit dem Absenden Ihrer Anfrage erklären Sie sich mit der Verarbeitung Ihrer angegebenen Daten zum Zweck der Bearbeitung Ihrer Anfrage einverstanden (Datenschutzerklärung und Widerrufshinweise).