I don't know if the fake IP check is working in every situation. See this support thread:
https://wordpress.org/support/topic/fake-ip-problem

User can easily disable it, but maybe we should discuss the feature.

See https://wordpress.org/support/topic/antispam-bee-and-contact-form-7

Perhaps we could provide support for other contact forms plugin in general, e.g. GF and Ninja Forms.

Currently, the country whitelist and blacklist options from the country check need the list to be separated by spaces. An option like RU,CH or CH;RU will fail to work.

The code to split the string into separate codes should be made more robust to allow for the most common ways of putting a collection into a string.

Like in the discussion settings:
https://github.com/WordPress/WordPress/blob/4cf5550d8d7f227d760f779f250a8fb2cfa2c8c9/wp-admin/options-discussion.php#L153

we could add an option for the allowed maximum of links:
https://github.com/WordPress/WordPress/blob/324e79a50608cc8b327b83e0a357777f6ffcf938/wp-includes/comment.php#L51

If this amount x (has to be greater than the WP option) is reached, the comment is considered as spam.

So 0-1 links are okay, 2 (WP default) or more are held for moderation. If x links are reached the comment is spam.

Opinions?

The two plugins are often recommended to be used together. Why not add a new "Blacklist Updater" option?

I received this Mail from WPML

Dear Frank,

My name is Helena from WPML. We have received a request in our support forum to check on the compatibility of Antispam Bee with WPML which you may find here:
https://wpml.org/de/forums/topic/kommentare-schreiben-nicht-moeglich-bei-fremdsprache/

Description by the assigned supporter:

When WPML and Antispam Bee are activated the comments in 2nd language are not working :

https://d2salfytceyqoe.cloudfront.net/wp-content/uploads/2015/09/704843-Bildschirmfoto_2015_09_14_um_20.48.24.png
https://d2salfytceyqoe.cloudfront.net/wp-content/uploads/2015/09/704843-Bildschirmfoto_2015_09_14_um_20.48.33.png

In order to get Antispam Bee fully compatible with WPML, we would like to invite you to join our GoGlobal program which is specially designed for developers.

http://wpml.org/documentation/theme-compatibility/go-global-program/

Simply complete the details and then send directly to me your latest version by mail. We will set up a test site with your theme/plugin installed where we can work on the issues together, test it and give you a detailed report of the results.

After the process is complete, we will announce it to our users and add Antispam Bee to our compatibility page.

You can see the successful list here

http://wpml.org/documentation/theme-compatibility/

http://wpml.org/documentation/plugins-compatibility/

Looking forward to hearing from you,

Helena Petridou
WPML administrative assistant
OnTheGoSystems
www.onthegosystems.com
The makers of WPML, Toolset and ICanLocalize

The plugin needs a test suite to let us more confidently make changes to the existing code. This avoids regressions, and could for example be used to run through the list of known spam so we can optimize against this.

I'll create a pull request with the beginnings of such a test suite.

Some considerations:

• To pull in the testing framework(s), Composer should be used, that's why I will add a composer.json file. I will only add stuff for the development environment for now, and this can be completely stripped during the release packaging.

• The code is not built in a modular way, so there will be a lot of fiddling to even get to the point where a test can be run. Over time, we should strive to modernize the code so that testing gets easier as well.

no context:
https://github.com/pluginkollektiv/antispam-bee/wiki/de-Funktionsweise

Mit der letztens vorgestellten und ausführlich beschriebenen Möglichkeit, wo es darum ging Templates händisch für den Spamabwehr vorzubereiten, reduzierte sich das gesamte Spam-Aufkommen bis auf mickrige, jedoch zugegeben nervige fünf Prozent. Kein schlechter Wert, doch es geht definitiv besser: Seit dem Einsatz von Antispam Bee ist überhaupt kein automatischer Spam mehr durchgekommen.

Im Klartext: Absolut kein Spam mehr im Blog!

wrong info:
https://github.com/pluginkollektiv/antispam-bee/wiki/de-Funktionen

… verwendet kein JavaScript, keine Cookies, keine Timeouts.

FAQ outdated:
Warum und wie kann ich Antispam Bee unterstützen?
Die wichtige Frage nach Warum?: Die permanente Weiterentwicklung des Plugins, die Bearbeitung der Nutzeranfragen auf unterschiedlichsten Kanälen, die Überwachung des Spam-Aufkommens, zahlreiche Testphasen und Updates beanspruchen Zeit. Viel Zeit. Zur Analyse der Spam-Kommentare werden sogenannte „Fässer für Honig oder Honey Pots“ aufgestellt, um Spammer anzulocken und deren Verhalten auszuwerten. Dafür sind mehrere Server angemietet. Selbst im Antispam Bee Plugin wird auf kostenpflichtige Dienstleistungen zurückgegriffen (beispielsweise die Erkennung des Herkunftslandes), um auf zuverlässige, aktuelle und stets erreichbare Daten zurückgreifen zu können. Kurz: Der Betrieb der WordPress-Erweiterung und die Forschung im Segment „Antispam“ kosten zusätzlich auch Geld.

think we could delete this and add a donate site

Wie finde ich den Ländercode eines Spam-Kommentars heraus?
but: #30

Documentation outdated:
https://github.com/pluginkollektiv/antispam-bee/wiki/de-Dokumentation#bestimmte-l%C3%A4nder-blockieren-bzw-erlauben
https://github.com/pluginkollektiv/antispam-bee/wiki/de-Dokumentation#kommentare-nur-in-einer-sprache-zulassen

please check this table
don't know if the identification is being translated and these are the exact words

please add privacy hints
Trust commenters with a Gravatar
Use a public antispam database
Block comments from specific countries
Allow comments only in certain language

There are some reports of a massive spam wave which gets through:
https://wordpress.org/support/topic/the-plugin-passes-spam

We should analyze the comments and add custom patterns asap.

I will get a dump of 1000+ spam comments for analyzing I can share with the team.

All the instances of parse_url() should be replaced with wp_parse_url().

parse_url() has known inconsistencies across PHP versions.

i think it would be nice to add an alert - with a thank you - when you click on the paypal links
could be easily done with onClick="alert( 'Thank you!' )"

The WordPress plugin Epoch does not work correctly in conjunction with Antispam Bee. When someone submits a new comment, it is not identified as spam, but Epoch retrieves the contents of the fake empty textarea instead of the hashed one (see #185).

An immediate solution would be to generate the same hash on Epoch's end to retrieve the contents from the correct textarea, but I suspect that the method of creating the $secret might change later down the road.

Is there a proper way to retrieve the $secret at the server end, to reliably integrate with other plugins?

Does this need just some additional filters or more?

Note: Daniel wrote a small plugin called bbPress Antispam which we could perhaps integrate.

We can safely remove any translation files from the plugin here that reached 90% on WordPress.org.
So far only German is fully translated: https://translate.wordpress.org/projects/wp-plugins/antispam-bee/dev

This is a tracking ticket we can keep open a bit to slowly remove translation files and of course bring people to translate on WordPress.org.

Anonymously collect non-detected spam comments.

What data to collect:

Comments that were not detected as spam and for which the site user manually clicked the "Spam" button.

When to collect:

When the site user first clicks this "Spam" button, we should ask the permission to anonymously send the comment data to a centralized database, in order to improve Antispam Bee.

How to collect:

At first, send to a HTTPS endpoint that stores everything in a simple database (probably NoSQL). We may need to evaluate a more scalable solution in the future. The collected data must not contain any mention of the sender or information about their user or system. It should contain as much information as possible about the actual spam content and where it originated.

See https://wordpress.org/support/topic/multisite-default-settings-1 and pluginkollektiv/statify#23

I moved a bunch of issues to the 2.7.0 milestone today to give us a little bit of a challenge.

I also updated master to include changes for 2.6.9. That release basically only needs to be committed to the plugin directory.

2.7.0 includes mainly bug fixes, but also some suggested features (not set in stone!). Before we implement any of these, I really want to have a solid structure so we can add proper unit tests along the way. See pluginkollektiv/antivirus#13

We should also think about a proper workflow to do stuff like:

• Minify CSS and JS upon build.
  The GitHub repository shouldn't include minified assets.
• Add PHP_CodeSniffer rules.
  To ensure we follow the WP coding standards.
• Add other tools to catch mistakes like missing text domains.
• Use a proper deploy script.
  Committing to SVN by hand is annoying. https://github.com/stephenharris/grunt-wp-deploy/ is the de-facto standard IMHO and a new version of that script is coming out soon.

I have an idea for a new spam detection feature: locality-sensitive content hashing.

Contrary to cryptographic hashing, locality-sensitive hashing produces hashes in such a way that the difference between hashes is directly influenced by the difference in content. So, for content that is similar, you get similar hashes. By comparing the hashes, you can deduce the similarity of the content.

This makes it possible to detect spam content based on samples, even if the new spam comments have been altered through reordering, spinning, etc...

As a first implementation, we could hash all the comments that are known to be spam within the current DB, and compare new spam against these. So, if there is a spam wave of similar comments, once you've flagged the first ones, all subsequent ones will be flagged automatically, even though they might have slightly changed.

Given that these hashes don't contain sensitive data anymore, we could proceed in a later step in providing a centralized repository of known spam hashes to improve detection through crowd-sourcing.

Here's the hash I'm currently leaning towards using: https://github.com/trendmicro/tlsh/blob/master/TLSH_CTC_final.pdf

We know that ASB is not compatible with Jetpack Comments module and some other Ajax powered comment plugins. We can collect them and display a warning if they are activated.

We could add the patterns from https://github.com/sdellenb/twentyfifteen-rubenesque-child/blob/master/functions.php#L14-L45

We could probably hijack the user registration form the same way as we already modify the comment form.

See https://wordpress.org/support/topic/user-registration-spam-3

The method Antispam_Bee_GUI::_build_select() contains a broken localization, where the the text to be translated is not a literal string, but a variable $v. This will not work with gettext, which only does very basic string substitution.

Just received an email from WordPress.org:

Next week, we intend to import Antispam Bee into the translate.wordpress.org translation system. Language packs will also be enabled for your plugin, for any locales that are fully translated (at 100%).

As part of this process, all of the strings in your plugin will be imported into translate.wordpress.org. Additionally, any language files that you ship with your plugin ("mo" files) will be imported and synced with their respective locales within translate.wordpress.org.

For your plugin to be imported properly, it needs to have a text domain that matches your plugin slug: antispam-bee.

A scan of the code indicates that your text domain 'antispam_bee' does not match the slug of your plugin. In order to participate in language packs, please update your plugin before next week so that the text domain defined and used in the plugin matches your plugin slug: antispam-bee.

From the WordPress Codex:

If your plugin is a single file called my-plugin.php or it is contained in a folder called my-plugin the domain name should be my-plugin. The text domain name must use dashes and not underscores.

Simply put, the text domain should match the plugin folder (antispam-bee instead of antispam_bee)

We could introduce an optionally JS feature.

We create a hidden field, which will get populated with a WP Nonce by Javascript. If the input fields value does not match: SPAM.

Expired links to PayPal and plugin docs pages need to be updated with their new URLs.

This duplicates #5 partly, so only URLs outside of README files should be touched for this issue.

Since the feature "filter by country" was removed, wouldn't it be possible to filter incoming comments by top level domains or even better by substrings of the FQDN?
For example I receive regular spam from a dynamic dial in address in china, which looks like this: 59.174.xx.yyy, xxxxxxx.dynamic.163data.com.cn

Right now the spam passes all of Antispam-Bees filters. But if I could add a search string for the commenting IP like ".cn" or even "dynamic.*.com.cn" that would help me ease the pain with these spam comments, which unfortunately are not catched by the existing filters.

What do you think?

The $host variable is containing a filtered version of the $url
https://github.com/pluginkollektiv/antispam-bee/blob/master/antispam_bee.php#L1405

Maybe we should add the unfiltered $url to the pattern array function too.

Move info to README.md to better support GitHub views.
readme.txt will be created automatically by the WP repo.

404 for missing gists in code

https://github.com/pluginkollektiv/antispam-bee/blob/91e09655f7aa882984fdc6d5a1d3791a132bcecf/README.md
EN: Optional logfile with spam entries e.g. for Fail2Ban
https://gist.github.com/sergejmueller/5622883

404 for missing gist in documentation/wiki

https://github.com/pluginkollektiv/antispam-bee/wiki/Dokumentation
Dafür wurde eine Schnittstelle geschaffen, die weitere RegExp-Regeln annimmt und verarbeitet. Beispiel auf GitHub zeigt die Methodik der Filter-Erweiterung. Sieht simpel aus, doch die Option ist sehr mächtig und vielfältig:
https://gist.github.com/4242142

missing posts/anchor after redirect in changelog/wiki

https://github.com/pluginkollektiv/antispam-bee/wiki/Versionsverlauf

Jubiläumsausgabe Neues Antispam Bee Maskottchen Antispam-Prüfung ankommender Kommentarbeiträge auf URL, IP- und E-Mail-Adresse in lokaler Blog-Spamdatenbank Version
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#spam_ip

Neue Funktion: Reguläre Ausdrücke anwenden Weitere Verknüpfungen der Sprachdatei im Plugin Veränderte Reihenfolge der Erkennungsfilter
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#regexp_check

Interaktive Dashboard Spam-Statistik (analog zu Statify) Farbliche Anpassung der Optionsseite an WordPress 3.2
http://playground.ebiene.de/statify-wordpress-statistik/

Verzicht auf die von Google eingestellte Translate API (Die Core-Funktion bleibt aber erhalten)
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#translate_api

Berücksichtigung des bereits erkannten Spam Kommentare nur in bestimmter Sprache zulassen Verzicht auf Canvas im Statistik Widget Gruppierung der Bereiche innerhalb der GUI Umstellung der Mindestvoraussetzung auf WordPress 2.8 Erhöhung der Sicherheit innerhalb des Plugins Entfernung des Migrationsskriptes Spam-Grund nun auch in der Spam-Übersicht Interne Strukturveränderungen
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#spam_ip
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#translate_api

Spamaufkommen als zuschaltbare Verlauf-Statistik auf dem Dashboard
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#dashboard_chart

Visuelle Überarbeitung der Benachrichtigungsemail Angabe des Verdachtsgrunds in der Benachrichtigungsemail Länderspezifische Blockierung von Kommentaren (Optional) Abgleich mit der Spammer-Datenbank von Project Honey Pot (Optional) Modernisierung der GUI + Ausklappbare Optionen
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#email_notify
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#country_code
http://playground.ebiene.de/antispam-bee-wordpress-plugin/#honey_pot

While we are trying to figure out how to bring back the full language detection, we could implement a more basic variant for a select set of languages that can be detected by the presence of their Unicode characters.

So, as an example, instead of detecting whether a given text is valid Chinese language, we just detect whether it contains Chinese characters.

This is not fool-proof, but probably a major improvement over no language filtering at all.

See https://wordpress.org/support/topic/check-for-a-fake-ip-not-working-correctly-with-ipv6?replies=2

See https://wordpress.org/support/topic/suggestion-check-if-widget-exists-in-dashboardjs-or-widget-display-config?replies=2 (untested)

The testing framework is now included in master and we should try to write a few tests for each of the major features for some basic sanity checking.

I’d like to implement a couple of enhancements on ASB’s settings page, mostly to support fluid/responsive layout, varying font-sizes etc. As of today, the UI looks neat, but breaks when e.g. feature descriptions exceed a certain line number.

Will make a list of specific enhancements soon.
Also open for feedback.
(Note: We’re talking about improving existing UI, not new features or anything. 😉 )

README files should be normalized in the way that they should start with English and then provide a German translation (if already available) below.

This can obviously be contributed by the support team.

-deleted-

Localized strings that contain links cannot be escaped, so they represent a security vulnerability.

The links should be extracted out of the strings and re-injected via sprintf().

• check for German locale should include all German locales, not only de_DE
• re-generate POT file + German translations

If we want, we can translate the complete readme file on WordPress.org. No need for a "Auf Deutsch?" hint in the readme anymore perhaps.

Hi there,

very much appreciate you guys taking over and maintaining the plugin, has done wonders so far with regards to the spam rate on my site(s).

On the settings screen there is a link on "Predefined and custom patterns by plugin hook" which points towards https://gist.github.com/4242142 but throws a 404.

I don't know what the target might be so a pull / fix is not possible.

Thanks for taking a look & keep it up.
Regards

We should move the majority of the changelog into a separate CHANGELOG.md file and and only keep the most recent entries. Plus, we can link to that file from the Wiki page.

Translating a long changelog is a huge pain for translators and not very useful. Plus, the plugin directory doesn't like readme files that are too long.

Already did this successfully for Statify.

Update the info inside the header.

Guten Morgen ;)

Vielleicht könnt ihr euch an den Tag erinnern, wo ich zwei Plugin-Funktionen aus Kostengründen entfernen musste. Eine der beiden Funktionen war Bestimmte Länder blockieren bzw. erlauben.

Es hat sich auch rumgesprochen, dass ich https://ip2country.info gestartet habe: OpenSource-Projekte sollen es einfacher haben, IP-Adressen entsprechenden Ländern zuordnen zu können. Mit dem Dienst versuche ich mein Problem von damals zu lösen: Man habe ein OpenSource-Projekt und benötigt ein (kostenloses) GeoIP-Targeting.

Also: Theoretisch könnte man den Plugin-Filter Bestimmte Länder blockieren bzw. erlauben wieder in Betrieb nehmen und mit ip2country.info verknüpfen. Man müsste nur den Code von damals wieder übernehmen (ist ja getaggt) und leicht anpassen (Request/Response). Mit anonymen IP-Adressen kann ip2country.info ebenfalls umgehen.

Was haltet ihr von der Idee und der Effektivität des Spam-Filters?

//cc @pixolin

We should only keep the most recent versions there. Same goes for the upgrade notice.

The rest of the changelog should go into a CHANGELOG.md file.

Reasons:

• The WordPress.org team doesn't like readme files that are too big. It can cause problems with the build process there.
• It helps keep the readme smaller and easier to read and translate

After switch from Tornevall-DNSBL to Stop Forum Spam we should change this string:

See:

…using Google's API

Instead of sending each spam entry as a separate email to the admin it'll be great to get a single summary per email (eg once a day or week - ideally customizable to your needs).

First of all, sorry for all the non-german readers of this topic. Because I will quote the author of this plugin, most of this post will be in german anyways so I thought I can ask in german aswell.

Hallo liebes pluginkollektiv-team,
erst einmal vielen Dank für eure Arbeit!

Sergej hat ja mit seiner Ankündigung vom Apr 10, 2015 die Funktion "Kommentare nur in einer Sprache zulassen" entfernt. Er schrieb dazu folgendes:

Das Antispam-Plugin für WordPress verfügt über eine praktische Funktion, Kommentare nur in einer bestimmten Sprache zuzulassen - eingehende Kommentaren in anderen Sprachen werden automatisch als Spam eingestuft. Siehe dazu die Beschreibung im Handbuch: http://playground.ebiene.de/antispam-bee-wordpress-plugin/#translate_api

Um diese Option/Funktion ausführen zu können, wurde bis dato die inoffizielle Schnittstelle von Google Translation (Browser) API genutzt - die Schnittstelle war kostenlos und uneingeschränkt nutzbar. Bis vor wenigen Tagen.

Google hat die Nutzung dieser inoffziellen Schnittstelle nun insofern eingeschränkt, dass sie für automatische Skripte (was ein Plugin ja ist) nicht länger zur Verfügung steht. Um Google Translate API jetzt nutzen zu können, muss die kostenpflichtige Variante https://cloud.google.com/translate/v2/pricing implementiert werden. Früher oder später musste dieser Zeitpunkt ja kommen ;)

Da die Funktion im Plugin sehr effektiv ist, würde ich ungern sie aus dem Funktionsumfang rausnehmen. Andererseits möchte ich die Kosten für die API-Nutzung nicht selbst tragen (ich bezahle schon Maxmind, etc.) - allein die Ungewissheit beim Verbrauch machen mir Sorgen. Auch kann/will ich das Plugin nicht (teils) kostenpflichtig machen, weil das für mich einen enormen Aufwand bedeuten würde.

Zusammengefasst:
Antispam Bee Nutzer mit aktiver Option „Kommentare nur in einer Sprache zulassen“ müssen damit rechnen, dass der Filter nicht einschlägt, da die Spracherkennung nicht mehr funktioniert.

Über eine Lösung grübele ich nach ;) Feedback willkommen ;)

Update 11. April 2015
Um die Funktionsweise der genannten Funktion sicherzustellen, wurde soeben eine Version des Plugins mit der Nutzung der kostenpflichtigen Variante von Google Translation API online gestellt - bis auf Weiteres übernehme ich die Kosten (wie hoch auch immer diese ausfallen werden). Auch soll damit der API-Verbrauch ermittelt/gemessen werden. Nach einigen Wochen weiß man mehr, wie stark die Funktion und die dahinterstehende Translation-Schnittstelle genutzt wurden. Entsprechend sieht man die resultierenden Kosten.

Update 03. Mai 2015
Eben eine Rechnung von Google bekommen: $55,22 bei 2.696.066 Einheiten im Zeitraum vom 11.04. - 30.04 (sind also nur 20 Tage). Da es davon auszugehen ist, dass das Plugin-Update nicht von allen Nutzern sofort aufgespielt wurde, müsste man mit mindestens ca. $90 pro Monat rechnen.

Update 16. Mai 2015
Mit dem heutigen Plugin-Update wurden die beiden, für mich als Plugin-Autor kostenverbundenen Funktionen Kommentare nur in einer Sprache zulassen und Bestimmte Länder blockieren bzw. erlauben aus dem Funktionsumfang des Plugins entfernt. Schweres Herzens getan, auch wenn es mir nicht leicht fällt, den Antispam Bee Funktionsumfang um so starke Antispam-Filter zu reduzieren ;(

Quelle: https://plus.google.com/u/0/+SergejM%C3%BCller/posts/ZyquhoYjUyF

Jetzt meine Frage: Die Funktion um auf die kostenpflichtige API zuzugreifen scheint ja schon implementiert zu sein. Könntet ihr diese vielleicht wiederbeleben und als "Expertenfunktion" einpflegen so dass man in den Einstellungen ein Feld für den eigenen API-Key hat und diese somit aktivieren kann? (Selbe Frage gilt übrigens auch für Maxmind)

Nochmals danke an Sergej und euch für den klasse Job den das Plugin macht (Speziell zusammen mit Fail2Ban).

~Edward

The 'Filterdatei' mentioned in the documentation is missing respectively the link is broken.

Logdatei für Fail2Ban

Das Antispam-Plugin ist in der Lage, erkannten Spam in einer Logdatei zu protokollieren. Das kann sehr nützlich sein, um Spam-Anfragen mithilfe von Fail2Ban bereits auf der Server-Ebene zu erkennen und abzuwehren. Für diesen Zweck wurde eine Filterdatei für die Fail2Ban-Konfiguration entwickelt. Simple Inbetriebnahme der Funktion: In der WordPress-Konfigurationsdatei wp-config.php das Logging für Antispam Bee aktivieren, indem der Konstante ANTISPAM_BEE_LOG_FILE der Server-Pfad zum Logfile zugewiesen wird. Die Datei muss beschreibbar sein. Exemplarisch: define('ANTISPAM_BEE_LOG_FILE', '/var/log/spam.log'); Implementierung: Antispam Bee 2.5.7