自从搭建了wordpress博客后,经常受到垃圾评论。为了阻止评论使用了Akismet插件。该插件确实有用,帮我阻止了大部分的垃圾评论。但是该插件并不会帮你把垃圾评论给删掉,导致我需要不时去后台将垃圾评论定时清理掉,否则mysql数据库承受不起。
但是每次要清理垃圾久而久之,实在麻烦,就研究一下别人是如何用程序来进行自动提交的。看了下,原来评论提交页面没做任何预防措施,可以直接发post数据包来进行评论。发送评论的代码如下:
<html>
<body>
<form action="http://www.jinglingshu.wiki/wp-comments-post.php" method="POST">
<input type="hidden" name="author" value="admin" />
<input type="hidden" name="email" value="1036914435@qq.com" />
<input type="hidden" name="url" value="www.jinglingshu.com" />
<input type="hidden" name="comment" value="nihao " />
<input type="hidden" name="submit" value="提交评论" />
<input type="hidden" name="comment_post_ID" value="7264" />
<input type="hidden" name="comment_parent" value="0" />
<input type="submit" value="Submit form" />
</form>
</body>
</html>
当然由于没有验证用户信息,评论者可以伪造其他用户进行评论,只要发送修改上面代码中的author就可以了。因此知道管理员的用户名就可以以管理员的名义来发表评论了。
ps:上面三条评论就是我伪造发送的。前两条发送时的用户名和邮箱都和管理员一样,最后一条邮箱和管理员不一样。最后一条不显示管理员头像的原因是我使用了非管理员的邮箱来提交的评论,而wordpress使用的是gravatar的头像,即邮件不同头像就不同。通过上面三条评论可以看到,伪造的评论完全和管理员自己发的评论一模一样。
ps:上面的代码是发表一条评论的代码,可以修改一下进行批量发送,这就是我为什么收到这么多垃圾评论的原因。同时,理论上可以发送垃圾评论的站点都可以伪造其他用户进行发表评论,如freebuf评论中经常看到hellen的大名。
既然收到垃圾评论是因为wordpress每次的表单内容是一样的,那么我们让wordpress每次的表单内容不一样就可以阻止垃圾评论了,即加入验证码。wordpress有很多验证码插件,如SI CAPTCHA Anti-Spam等。
转载请注明:jinglingshu的博客 » 关于wordpress的自动批量发表评论
