Php自动评论,关于wordpress的自动批量发表评论

自从搭建了wordpress博客后,经常受到垃圾评论。为了阻止评论使用了Akismet插件。该插件确实有用,帮我阻止了大部分的垃圾评论。但是该插件并不会帮你把垃圾评论给删掉,导致我需要不时去后台将垃圾评论定时清理掉,否则mysql数据库承受不起。

20140625220524.jpg

但是每次要清理垃圾久而久之,实在麻烦,就研究一下别人是如何用程序来进行自动提交的。看了下,原来评论提交页面没做任何预防措施,可以直接发post数据包来进行评论。发送评论的代码如下:

当然由于没有验证用户信息,评论者可以伪造其他用户进行评论,只要发送修改上面代码中的author就可以了。因此知道管理员的用户名就可以以管理员的名义来发表评论了。

20140625221425.jpg

ps:上面三条评论就是我伪造发送的。前两条发送时的用户名和邮箱都和管理员一样,最后一条邮箱和管理员不一样。最后一条不显示管理员头像的原因是我使用了非管理员的邮箱来提交的评论,而wordpress使用的是gravatar的头像,即邮件不同头像就不同。通过上面三条评论可以看到,伪造的评论完全和管理员自己发的评论一模一样。

ps:上面的代码是发表一条评论的代码,可以修改一下进行批量发送,这就是我为什么收到这么多垃圾评论的原因。同时,理论上可以发送垃圾评论的站点都可以伪造其他用户进行发表评论,如freebuf评论中经常看到hellen的大名。

既然收到垃圾评论是因为wordpress每次的表单内容是一样的,那么我们让wordpress每次的表单内容不一样就可以阻止垃圾评论了,即加入验证码。wordpress有很多验证码插件,如SI CAPTCHA Anti-Spam等。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值