Spam auf WordPress-Mailadresse

Hinweise:
Diese Anleitung richtet sich an erfahrene User!

Alternativ kann auch das Plugin “WP H-Change Mail Sender” verwendet werden.


Seit einiger Zeit versucht die Spam-Mafia mit fingierten E-Mails auf die WordPress-Mail-Adresse (z.B. wordpress@domain.de) die Betreiber von Blogs/Websites zum Anklicken der Links zu verleiten.

Auszug aus einer solchen Lock-E-Mail:

Im unteren Teil dieser E-Mail (nicht abgebildet) befinden sich die Links, auf welche man unter keinen Umständen klicken sollte.

WordPress macht es den Spammern recht einfach, da grundsätzlich die E-Mail-Adresse “wordpress@domain.de” automatisch für administrative Anwendungen (Passwort-Vergessen-Funktion u. ä.) erzeugt wird.

Als Lösung ändern wir diese Systemadresse von WordPress mit einem kleinen Script, welches in die Datei “functions.php” des Themes bzw. Child-Themes eingefügt wird.

Zuvor die Datei “functions.php”unbedingt durch eine Kopie sichern!

Das folgende Script wird beispielsweise am Ende der Datei “functions.php” eingefügt:

/**
* Changes WP default From: WordPress <wordpress@yourdomain.tld> emails header
* to From: Blogname <no-reply@yourdomain.tld>. Customizable, drop it in your theme's functions.php to take effect.
* @author Adrian7 (http://adrian.silimon.eu)
*/
function wp_mail_branding($args){

    $wp_domain = @parse_url(get_bloginfo('url'));
    $wp_domain = $wp_domain['host'];

    $wp_blogname = get_bloginfo('name');

    //will not touch any existing headers
    if ( empty($args['headers']) ) $args['headers'] = "From: {$wp_blogname} <no-reply@{$wp_domain}>";

    return $args;
}

add_filter('wp_mail', 'wp_mail_branding', 99, 1);

 

Damit wird die vorhanden WordPress-Mail-Adresse von “wordpress@…” nach “no-replay@…” umbenannt. Die Bezeichnung “no-replay” ist bei Bedarf anzupassen. Die bisherige E-Mail-Adresse “wordpress@…” ist ab sofort ungültig und der Spuk hört auf. Sollte auf der neuen E-Mail-Adresse irgendwann wieder Spam ankommen, lässt sich das Übel durch Ändern der Bezeichnung vor dem “@”-Zeichen abstellen.

Durch Testen der “Passwort-Vergessen-Funktion” sollte die geänderte E-Mail-Adresse nach dem Scripteinbau getestet werden.