WordPress垃圾评论治理经验分享

WordPress这玩意最令人诟病的一个问题应该就是垃圾评论了,玩Wordpress的朋友应该都有体会。所以针对垃圾评论的防护方案也有不少,比如官方主推的插件Akismet。我之前也是一直在用这个插件,直到有一天,发现待审核评论里边躺着十几万条,Akismet告诉我超过了免费版的额度。

无奈当时为了快速处理掉,就付费订阅了,36刀一年,一用就是三四年,后来才发现,原来费用也可以调低到3刀一年,当了好几年大冤种。当然付费之后的防护效果还是不错的,绝大部分垃圾评论直接进了垃圾箱。不过进到垃圾箱的评论依然是要写数据库的,像我这种5刀一个月的VPS,在面对自动化饱和式倒垃圾的时候,还是有可能会被干挂的(不知道这种攻击到服务器挂掉的目的是啥)。

最近有了些空闲时间,重新思考了一下这个问题。
● 我只需要保留真人的留言
● 机器人自动评论没有必要在垃圾箱保存

基于以上需求,可以在插件市场找到一些验证码方案的插件,或者reCAPTCHA 这种方案的插件,都是在留言的过程中增加操作来做验证,判断留言者是不是一个真实的人。不过对于我这种几乎没有啥量的小站来说,似乎是有点过重了,还严重拉低了用户体验。

所以我开始琢磨自己在代码上动动手脚,让机器人找不到真正发表评论的入口。

我发现Wordpress 本身在评论这块只使用了最基础的HTML表单,对于机器人来说,只要读到表单,按照表单的action地址发送表单数据就可以了,这个门槛着实有点太低了。

于是我开始动手改造这部分的代码:
● 首先在原来“提交评论”按钮(按钮A)后边再放一个按钮(按钮B),作为真正提交评论的按钮,用css将原来的按钮A隐藏;
● 然后用一段js代码监听按钮B的点击状态,来发送POST请求;
● 最后将原来的接收表单的API改成直接返回成功,按钮B发送的数据到一个新的API正常评论。

如此修改后运行了几天,目前还没有一个垃圾评论进入数据库。至少比之前一天至少几百条的情况好太多了,终于可以把Akismet的钱省下来了。

对于我这种流量极低的站点来说,这个方案应该是比较稳的了,除非针对我专门制作攻击方案,我觉得目前我还不配,如果攻击我立马投降就是。

最后,分享一下做这种修改需要接触到哪些代码:
wp-comments-post.php 接收评论表单的API
wp-includes/comment-template.php 生成评论部分的前端代码

对于有一些前端经验的同学,这些应该没啥难度,无非照猫画葫芦。
只是我发现对于jQuery的使用要注意一下,$符号似乎不能用,必须显示的使用jQuery(比如:jQuery.post)。
另外,发表评论后,php会返回字符串形式的html,自己通过js发送的POST请求需要再处理一下返回数据,否则可能会让用户感觉什么都没发生。

解决了 WordPress 中文标签或分类目录返回404的问题

WordPress 版本: 4.4.1 中文版

问题描述:
在访问中文的标签[tag] 或分类目录[category] 的时候,系统返回404。
举个例子,可以试一下访问 https://ftxtool.org/index.php/tag/测试/ ,显示的页面是“未找到” ,然而是一个正常返回的页面,并不是404;而如果访问一个根本没有的标签或分来目录,比如 https://ftxtool.org/index.php/tag/根本没有/ ,显示的页面是 “有点尴尬诶!该页无法显示。”,而且 http 响应不是200而是404。
所以正确的姿势应该是,访问一个存在的标签,就应该返回200而不是404。

解决方法:
代码文件:wp-includes/class-wp.php
代码:

$req_uri = str_replace($pathinfo, '', $req_uri);

修改为:

$req_uri = str_replace($pathinfo, '', urldecode( $req_uri ));

吐槽:
我不知道网上分享解决方案的那些人是在什么样的环境下解决了问题的,我很愿意相信他们是真的亲自操作遇到问题并解决了。然而我的环境下的这个问题,用那些搜出来的长得都差不多的信息对于从根本上解决问题并没有什么帮助。

调试过程:
经过艰苦卓绝的调试,各种打 log ,最后发现 $_SERVER[‘PATH_INFO’] 和 $_SERVER[‘REQUEST_URI’] 这两个变量的值在编码上是有区别的。PATH_INFO 取出的值是其中的中文是经过 urldecode 之后的,就是正常的中文;而 REQUEST_URI 的中文并没有经过 urldecode ,是那种百分号和16进制数的那种形式。因为这样的区别,所以导致 str_replace 并没有达到其所期望的效果。
因为 replace 后的字符串是错的,导致后边一系列错误导致没有正确匹配到数据库中的数据。

最后吐槽一下 WordPress 官方。在解决完这个问题后,我想把修改的代码提交给官方,然后发现他们的 github 是不接受 pull request 的,只能去官方的网站提交 trac [https://core.trac.wordpress.org/] 。写好之后他们的回复到是挺快的,大叔告诉我这个问题已经有人提过 issus 了,在 #10249#17450,有兴趣的同学可以点进去看。尼玛都有5年的历史了,有木有……新的代码里还是没有加进来,有木有……这是准备了5年的愚人节惊喜么?

初撸WordPress小记

撸这个 WordPress 站有一段时间了,也解决了一些比较蛋疼的问题,大晚上的一股鸡血上脑,就撸了一发小文,记录一下这段时间解决的几个比较有用的问题。

1. 中文标签和分类的问题
偶然发现直接点击中文标签或分类链接,wordpress 是根本找不到相关内容的。相当于访问 https://ftxtool.org/index.php/category/技术随笔/ 的时候服务器给我返回的是 404 ,然而,使用 https://ftxtool.org?category=技术随笔 传参数的方式却可以正常访问到,估计是 url 地址重定向时候的问题。
所以,网上能找到一类解决方案就是修改 rewrite.php 的代码。然而,就像某个复制粘贴的博主说的那样,根本没有找到别人说的那块代码在哪。应该是经过很多版本的更新,那部分代码早就不一样了,然而这种复制粘贴的精神依然屹立,永不过时。
另外一个解决方案,是修改 class-wp.php ,把 $_SERVER[‘PATH_INFO’] 和 $_SERVER[‘REQUEST_URI’] 转码,把 GBK 转成 UTF-8 。然而,经过测试好像并没有什么卵用。
方案三,修改别名。把别名改成一小串英文,亲测有效。具体操作方法就是:
仪表盘→分类目录/标签→选一个具体的分类或标签名字,点下边的快速编辑→别名(随便写个英文的名字),然后更新就好了。
方案四,插件。方案三虽然可以解决问题,但是每个标签都要手动改一遍还是有些蛋疼的。找来找去找到个插件,用起来还不错。插件名叫:IIS Chinese Tag Permalink 直接去安装插件里搜索这个名字就能找到。目前用起来还没啥问题,应该算比较靠谱的一个方案。然而还是有个别标签一直 404 ,只能通过改别名的办法解决,不知道有没有更好一些的插件可以解决这个问题。

2. sitemap
赵家百度的 sitemap 插件简直渣到爆,跟 google 的 XML-Sitemap 插件简直没法比。从设置页面就已经被秒成渣渣了。最蛋疼的是生成 sitemap 文件,我去点了按钮也没反应,一直是:没有生成 sitemap 文件。麻痹的没有任何提示了,只好去代码里下 log。
原来生成文件是在 wordpress 的跟目录,代码注释里竟然叫我把目录整个权限设成777。简直日了狗,你家运维都是这么干活的么?
然后,还是手动在根目录创建了个 sitemap 文件,然后加个写权限,就可以用了。
然而,还是 google 家的 sitemap 好使。自己自动生成好之后还能自动通知 google 和 bing 。

3. 友情链接
新版本添加友情链接还是蛮蛋疼的,网上能搜到的基本上都是老版本的方案,或者 link manager 插件,但是插件并不好使。真心想不明白,这帮人复制来复制去也没有经过验证,然后还被搜索引擎排的那么靠前。
新版本添加链接其实很简单,只要在侧边栏加上一个自定义菜单就可以了:
外观→自定义→小工具→侧边栏
点击【添加小工具】选择【自定义菜单】
然后选上自己添加好链接的菜单就可以了。

然而怎么添加一个菜单呢?
外观→菜单
点击【创建新菜单】
然后 填一个名字
然后 在【自定义链接】中添加
能看懂提示文字基本上不会错。

注意:这个菜单不要勾选 主菜单 。

RSS
Follow by Email
YouTube
YouTube
Pinterest
fb-share-icon
LinkedIn
Share
VK
Weibo
WeChat
WhatsApp
Reddit
FbMessenger
Copy link
URL has been copied successfully!