Kommentar-Spam ist eine der lästigsten Erscheinungen in Blogs und Content-Systemen. Auch wenn man das Kommentarformular im Frontend ausblendet, bleibt der WordPress-Kommentar-Endpunkt (wp-comments-post.php) standardmäßig aktiv – und kann direkt angesteuert werden.

Ich erkläre dir die Details und wie du Kommentar-Spam vermeidest.

Zur Veranschaulichung, wie du einen Kommentar mittels curl erstellst

Ein einfacher Weg, um zu testen, wie Kommentar-Spam funktioniert, ist ein Aufruf per curl. Damit kannst du – unabhängig vom sichtbaren Formular – direkt einen Kommentar an WordPress senden:

curl -X POST https://example.com/wp-comments-post.php \
  -H "Content-Type: application/x-www-form-urlencoded" \
  -d "author=John Doe" \
  -d "email=spam@example.org" \
  -d "url=https://example.org" \
  -d "comment=Dies ist ein SPAM Kommentar per curl." \
  -d "comment_post_ID=5" \
  -d "comment_parent=0"

• Anstatt der Domain example.com in der ersten Zeile musst du deine WordPress-Domain verwenden.
• author, email, url und comment scheinen dann im Kommentar auf.
• Die comment_post_ID ermittelst du, indem du im WordPress Backend auf Beiträge > Alle Beiträge gehst und dann mit der Maus über die Überschrift eines Beitrags fährst. In der Fußzeile des Browsers steht dann folgende Adresse: https://www.example.com/wp-admin/post.php?post=5&action=edit. Der Wert nach post entspricht comment_post_ID. Alternativ kannst du auch einen Rechtsklick auf die Überschrift des Beitrags machen und Link Adresse kopieren auswählen.

Solche Aufrufe können leicht automatisiert werden – von Bots, Skripten oder sogar versehentlich von legitimen Tools.

Einfache Lösung: Registrierungspflicht für Kommentare

Ein wirksamer und unkomplizierter Schutz besteht darin, das Kommentieren nur registrierten Nutzern zu erlauben.

Dazu einfach in WordPress unter:

Einstellungen > Diskussion einen Haken bei »Benutzer müssen registriert und angemeldet sein, um kommentieren zu können« setzen.

Damit läuft jeder automatisierte Spamversuch ins Leere – denn ohne gültiges Login wird der Kommentar nicht angenommen, auch wenn die POST-Daten korrekt sind.

Jetzt gilt es nur noch die Seite zur Benutzerregistrierung abzusichern.

Dazu empfehle ich das Simple Cloudflare Turnstile-Plugin

Mit diesem Plugin kannst du die Seite für die Benutzerregistrierung vor Spambots schützen.

• Simple Cloudflare Turnstile-Plugin

Optional: Weitere Schutzmaßnahmen

Für noch mehr Sicherheit kannst du zusätzlich:

• Die Benutzerregistrierung unter Einstellungen > Allgemein > Mitgliedschaft deaktivieren.
• Die Datei wp-comments-post.php mit einem Plugin oder .htaccess-Regel sperren.
• Kommentare generell deaktivieren, falls du sie nicht brauchst.

Fazit

Auch wenn kein Formular sichtbar ist, bleibt der Kommentar-Endpunkt bei WordPress aktiv. Mit einem einfachen curl-Befehl lässt sich das nachvollziehen – und auch ausnutzen.

Ein effektiver Schutz gegen diese Art von Spam ist schnell eingerichtet: Registrierungspflicht für Kommentare. Damit lassen sich viele automatisierte Angriffe elegant abwehren – ohne Plugins oder komplexe Maßnahmen.