Spam reduzieren in Moodle: Unterschied zwischen den Versionen

Aktuelle Version vom 5. November 2009, 16:37 Uhr

Hintergrund

Worin besteht das Problem? Lesen Sie dazu diese Hintergrundinformationen.

Was Sie am besten tun können

Aktualisieren Sie Ihre Moodle-Installation auf die aktuellste Version 1.9.x oder 1.8.x und nutzen Sie den Sicherheitsbericht, um Ihre Moodle-Konfiguration zu analysieren, und beachten Sie alle dort aufgeführten Hinweise und Empfehlungen.

Beachten Sie, dass die Hinweise im Sicherheitsbericht allgemein der Absicherung Ihrer Moodle-Installation dienen. Nicht alle Empfehlungen sind zwingend erforderlich, um Spam in Nutzerprofilen zu vermeiden (um dies zu erreichen, lesen Sie den folgenden Abschnitt Kritische Einstellungen).

Kritische Einstellungen

Stellen Sie sicher, dass die PHP-Einstellung register_globals unter Website-Administration > Server > PHP-Informationen auf off gestellt ist (das ist die Standardeinstellung). Andernfalls besteht das Risiko, dass Ihr Moodle gehackt werden kann und Spammer Ihre Moodle-Skripte modifizieren können.
Aktivieren Sie die Einstellung Anmeldung notwendig, um Profile sehen zu können unter Website-Administration > Sicherheit > Website-Rechte (das ist standardmäßig der Fall) - dann haben Gastnutzer und Suchmaschinen keinen Zugriff auf Nutzerprofile.
Aktivieren Sie die Einstellung Profilzugriff nur für eingetragene Nutzer/innen unter Website-Administration > Sicherheit > Website-Rechte (das ist standardmäßig der Fall). Diese Einstellung gibt es ab Moodle 1.6.9, 1.7.7, 1.8.8 und 1.9.4. Dadurch verhindern Sie den Zugriff auf Profile von Nutzern, die in keinen Kurs eingeschrieben sind (also z.B. potentielle Spammer), durch andere Nutzer Ihrer Moodle-Installation. D.h. potentielle Spammer können unerwünschte Inhalte in ihrem Profil hinterlegen, da sie aber i.d.R. in keinem Kurs eingeschrieben sind, haben die anderen Nutzer Ihrer Installation keinen Zugriff auf dieses Profil und damit keinen Zugriff auf den darin enthaltenen Spam.

Strenge Empfehlungen

Aktualisieren Sie Ihr Moodle so oft wie möglich. In den aktuellsten Moodle-Versionen sind stets zahlreiche Fehler behoben, die der Sicherheit Ihrer Installation dienen.
Beachten Sie die Spam-Risiken die entstehen, wenn Sie Gast-Nutzern bestimmte Rechte geben, z.B. die Fähigkeit auf Forumsbeiträge zu antworten oder Blogeinträge zu schreiben.

E-Mail-basierte Selbstregistrierung

Wenn Sie die E-Mail-basierte Selbstregistrierung nicht unbedingt benötigen, lassen Sie die Eisntellung Selbstregistrierung ausgeschaltet (das ist die Standardeinstellung unter Website-Administration > Nutzer/innen > Authentifizierung > Übersicht.

Wenn Sie die E-Mail-basierte Selbstregistrierung benötigen, damit Nutzer ihr eigenes Moodle-Nutzerkonto anlegen können, dann beachten Sie bitte folgendes:

Schützen Sie sich vor Spam, indem Sie ein ReCaptcha Element verwenden (ab Moodle 1.9.1) - Details siehe Sicherheit FAQ. ReCaptcha verhindert die meisten Formen von automatisch generiertem Spam, nicht jedoch manuell erzeugten Spam durch "echte" Nutzer.
Begrenzen Sie die Selbstregistrierung auf bestimmte E-Mail-Domains: Verwenden Sie dazu die Einstellungen Zugelassene E-Mail-Domains und Zurückzuweisende E-Mail-Domains unter Website-Administration > Nutzer/innen > Authentifizierung > Übersicht.
Überlegen Sie, ob Sie die Selbstregistrierung nur für einen begrenzten Zeitraum erlauben. In dieser Zeit können sich Ihre Nutzer registrieren, danach können Sie die Selbstregistrierung wieder ausschalten.
Aktivieren Sie die Einstellung Bestätigung der E-Mail-Änderung unter Website-Administration > Sicherheit > Website-Rechte (das ist standardmäßig der Fall). Diese Einstellung gibt es ab Moodle 1.8.6 bzw. 1.9.2.

Spam löschen

Wenn Sie auf Ihrer Moodle-Installation dennoch ein Spam-Problem haben - hier gibt es eine Anleitung, wie Sie die betroffenen Nutzerprofile bereinigen können:

Nutzen Sie den Spam-Bericht, den es in allen stabilen Moodle-Versionen seit dem 25. Februar 2009 gibt (auf jeden Fall ab Moodle 1.9.5 und 1.8.9). Alternativ können Sie hier ein Spamcleaner-Skript herunterladen und in Ihrer Moodle-Installation laufen lassen.
Überüprüfen Sie Ihre Nutzerliste und suchen Sie nach ungewöhnlichen Einträgen oder kritischen Mustern. Z.B. können Spammer in ihrem Profil ein Land gewählt haben, das sonst keiner Ihrer "echten" Nutzer hat.
Nutzer Sie die Funktionalität zur Nutzerverwaltung unter Website-Administration > Nutzer/innen > Nutzerkonten > Nutzerverwaltung (Bulk), um die betroffenen Nutzerkonten zu finden und zu löschen. Beachten Sie, dass es in den Moodle-Versionen vor 1.6.7, 1.7.5, 1.8.6, 1.9.2 einen Bug gab, der gelöschte Nutzerprofile nicht korrekt verborgen hat.

Siehe auch

Spam-Bericht

@@ Zeile 1: / Zeile 1: @@
-{{Zum Übersetzen}}
-Siehe [[:en:Reducing_spam_in_Moodle]]
 ==Hintergrund==
@@ Zeile 8: / Zeile 5: @@
 ==Was Sie am besten tun können==
-Upgrade to the latest 1.9.x or 1.8.x and use the [[Security_overview| Security report]] to analyse your configuration.  Then do all the things it tells you.
+[[Aktualisierung von Moodle|Aktualisieren]] Sie Ihre Moodle-Installation auf die aktuellste Version 1.9.x oder 1.8.x und nutzen Sie den [[Sicherheitsbericht]], um Ihre Moodle-Konfiguration zu analysieren, und beachten Sie alle dort aufgeführten Hinweise und Empfehlungen.
-Note this is not strictly necessary to combat just profile spam (see the critical settings below) but it will protect you against dozens of other known security vulnerabilities.
+Beachten Sie, dass die Hinweise im Sicherheitsbericht allgemein der Absicherung Ihrer Moodle-Installation dienen. Nicht alle Empfehlungen sind zwingend erforderlich, um Spam in Nutzerprofilen zu vermeiden (um dies zu erreichen, lesen Sie den folgenden Abschnitt [[Spam reduzieren in Moodle#Kritische Einstellungen|Kritische Einstellungen]]).
 ==Kritische Einstellungen==
-# Make sure that 'register_globals' is switched '''off''' in your PHP settings (this is the default).  Otherwise your site may be at risk of being cracked, allowing spammers to modify your scripts and insert spam wherever they like.
+# Stellen Sie sicher, dass die PHP-Einstellung ''register_globals'' unter ''Website-Administration >  Server > [[PHP-Informationen]]'' auf ''off'' gestellt ist (das ist die Standardeinstellung). Andernfalls besteht das Risiko, dass Ihr Moodle gehackt werden kann und Spammer Ihre Moodle-Skripte modifizieren können.
-# Keep "Force users to login for profiles" '''enabled''' in ''Administration > Security > [[Site policies]]'' to prevent anonymous visitors and search engines from seeing user profiles.
+# Aktivieren Sie die Einstellung ''Anmeldung notwendig, um Profile sehen zu können'' unter ''Website-Administration >  Sicherheit > [[Website-Rechte]]'' (das ist standardmäßig der Fall) - dann haben Gastnutzer und Suchmaschinen keinen Zugriff auf Nutzerprofile.
-# Keep "Profiles for enrolled users only" '''enabled''' in ''Administration > Security > [[Site policies]]'' (in Moodle 1.6.9, 1.7.7, 1.8.8 and in 1.9.4 onwards).  This will prevent affected profiles from being visible even to other users on the site.
+# Aktivieren Sie die Einstellung ''Profilzugriff nur für eingetragene Nutzer/innen'' unter ''Website-Administration >  Sicherheit > [[Website-Rechte]]'' (das ist standardmäßig der Fall). Diese Einstellung gibt es ab Moodle 1.6.9, 1.7.7, 1.8.8 und 1.9.4. Dadurch verhindern Sie den Zugriff auf Profile von Nutzern, die in keinen Kurs eingeschrieben sind (also z.B. potentielle Spammer), durch andere Nutzer Ihrer Moodle-Installation. D.h. potentielle Spammer können unerwünschte Inhalte in ihrem Profil hinterlegen, da sie aber i.d.R. in keinem Kurs eingeschrieben sind, haben die anderen Nutzer Ihrer Installation keinen Zugriff auf dieses Profil und damit keinen Zugriff auf den darin enthaltenen Spam.
 ==Strenge Empfehlungen==
-*Make sure you '''upgrade your site often'''.  Recent versions of Moodle have new fixes and warnings that will help you avoid security issues.
+*[[Aktualisierung von Moodle|Aktualisieren]] Sie Ihr Moodle so oft wie möglich. In den aktuellsten Moodle-Versionen sind stets zahlreiche Fehler behoben, die der Sicherheit Ihrer Installation dienen.
-*Consider the [[Risks|spam risks]] involved in allowing certain capabilities for visitor accounts, such as [[Capabilities/mod/forum:replypost| replying to forum posts]] or posting to blogs.
+*Beachten Sie die [[Risiken#Spam|Spam-Risiken]] die entstehen, wenn Sie [[Gast-Rolle|Gast-Nutzern]] bestimmte [[Rollen und Rechte|Rechte]] geben, z.B. die Fähigkeit [[Capabilities/mod/forum:replypost|auf Forumsbeiträge zu antworten]] oder Blogeinträge zu schreiben.
 ==E-Mail-basierte Selbstregistrierung==
-If you don't need it, please keep self-registration '''disabled''' (it's the default) in ''Administration > Users > Authentication > [[Manage authentication]]'' common settings.
+Wenn Sie die [[E-Mail-basierte Selbstregistrierung]] nicht unbedingt benötigen, lassen Sie die Eisntellung ''Selbstregistrierung'' ausgeschaltet (das ist die Standardeinstellung unter ''Website-Administration > Nutzer/innen > Authentifizierung > [[Module für die Authentifizierung verwalten|Übersicht]]''.
-If you '''must''' use [[Email-based self-registration]] to allow people to make their own accounts then:
+Wenn Sie die [[E-Mail-basierte Selbstregistrierung]] benötigen, damit Nutzer ihr eigenes Moodle-Nutzerkonto anlegen können, dann beachten Sie bitte folgendes:
-# Add spam protection to the new account form by enabling reCAPTCHA (in Moodle 1.9.1 onwards) - see [[Security FAQ]] for details of how to do so. ReCAPTCHA is quite effective against '''most''' automated spambots, but will not foil human spammers at all.
+# Schützen Sie sich vor Spam, indem Sie ein [[E-Mail-basierte_Selbstregistrierung#ReCaptcha_einschalten|ReCaptcha Element verwenden (ab Moodle 1.9.1)]] - Details siehe [[Sicherheit FAQ#Wie aktiviere ich ReChaptcha?|Sicherheit FAQ]]. ReCaptcha verhindert die meisten Formen von automatisch generiertem Spam, nicht jedoch manuell erzeugten Spam durch "echte" Nutzer.
-# Limit self registration to particular email domains with the allowed email domains setting or deny email addresses from particular domains, such as mailinator.com and temporaryinbox.com, with the denied email domains setting. Both settings are in ''Administration > Users > Authentication > [[Manage authentication]]'' common settings.
+# Begrenzen Sie die Selbstregistrierung auf bestimmte E-Mail-Domains: Verwenden Sie dazu die Einstellungen ''Zugelassene E-Mail-Domains'' und ''Zurückzuweisende E-Mail-Domains'' unter ''Website-Administration > Nutzer/innen > Authentifizierung > [[Module für die Authentifizierung verwalten|Übersicht]]''.
-# Consider only enabling self registration for a short period of time to allow users to create accounts, and then later disable it.
+# Überlegen Sie, ob Sie die Selbstregistrierung nur für einen begrenzten Zeitraum erlauben. In dieser Zeit können sich Ihre Nutzer registrieren, danach können Sie die Selbstregistrierung wieder ausschalten.
-# Keep "Email change confirmation" enabled in ''Administration > Security > [[Site policies]]'' (in Moodle 1.8.6 and in 1.9.2 onwards).
+# Aktivieren Sie die Einstellung ''Bestätigung der E-Mail-Änderung'' unter ''Website-Administration > Sicherheit > [[Website-Rechte]] (das ist standardmäßig der Fall). Diese Einstellung gibt es ab Moodle 1.8.6 bzw. 1.9.2.
 ==Spam löschen==
-If your site was open in the past and you have a spam problem then here are some things you can do to clean up the profiles:
+Wenn Sie auf Ihrer Moodle-Installation dennoch ein Spam-Problem haben - hier gibt es eine Anleitung, wie Sie die betroffenen Nutzerprofile bereinigen können:
+# Nutzen Sie den [[Spam-Bericht]], den es in allen stabilen Moodle-Versionen seit dem 25. Februar 2009 gibt (auf jeden Fall ab Moodle 1.9.5 und 1.8.9).  Alternativ können Sie hier ein [http://cvs.moodle.org/contrib/tools/spamcleaner/spamcleaner.php?view=co Spamcleaner-Skript herunterladen] und in Ihrer Moodle-Installation laufen lassen.
+# Überüprüfen Sie Ihre Nutzerliste und suchen Sie nach ungewöhnlichen Einträgen oder kritischen Mustern. Z.B. können Spammer in ihrem Profil ein Land gewählt haben, das sonst keiner Ihrer "echten" Nutzer hat.
+# Nutzer Sie die Funktionalität zur Nutzerverwaltung unter ''Website-Administration > Nutzer/innen > Nutzerkonten > [[Nutzerverwaltung]] (Bulk)'', um die betroffenen Nutzerkonten zu finden und zu löschen. Beachten Sie, dass es in den Moodle-Versionen vor 1.6.7, 1.7.5, 1.8.6, 1.9.2 einen [http://moodle.org/mod/forum/discuss.php?d=101407 Bug] gab, der gelöschte Nutzerprofile nicht korrekt verborgen hat.
-# Use our [[Spam cleaner]] report, available in all stable versions of Moodle released in February 2008 or later.  Alternatively you can [http://cvs.moodle.org/contrib/tools/spamcleaner/spamcleaner.php?view=co download a version of the spam cleaner script] and run it in your existing Moodle site.
+==Siehe auch==
-# Browse your user list looking for patterns to detect users who need to be deleted.  For example, spammers might have chosen a country that none of your real users has.
+*[[Spam-Bericht]]
-# Use the [[Bulk user actions]] tool under ''Administration > Users > Accounts'' to find all these users and delete them.  Note that versions prior to 1.6.7, 1.7.5, 1.8.6, 1.9.2 had a [http://moodle.org/mod/forum/discuss.php?d=101407 bug] that did not properly hide deleted user profiles, so make sure you have upgraded to a later version if you want to keep user profiles visible to the world.
 [[Category:Sicherheit]]

Documentation