信马由缰

上一篇我讲了如何利用隐藏输入框来组织垃圾评论，今天登陆后台，居然还是发现了一篇垃圾评论~ 这是怎么回事？莫非是我的隐藏输入框不起作用了？不应该啊~本地测试都是没问题的。人肉Spam？更加不可能了，哪个foreigner会找到这个没什么人气小站来投放ad啊…

一时半会想不出原因，遂搁置一边，去cPanel转转。在看Last Visitor的时候，忽然发现了如下数据：(因为这件事出现在大约3天之前，Last Visitors的数据已经刷新，下面的截图是Raw Access Log中的数据）SpamRobot Access Log对比一下IP，跟spam的一模一样！可以看到，这个Robot先访问到了主页面，之后随机挑选了一篇日志，获得相关数据后直接POST，第三行POST返回代码是302，这是wp-comments-post.php返回的Location，最后它验证了一下，开闪。原来SpamRobot是直接使用POST方法向wp-comments-post.php提交数据的。这帮家伙！

Read more »

看到这个标题，估计你会联想到NoSpamNX。没错，这个idea就是借鉴NoSpamNX的。前几天在网上溜达的时候看到了一篇关于NoSpamNX的介绍，觉得挺不错，决定尝试一下。可惜的是安装之后不能正常使用，估计原因在于我的主题使用了Ajax的评论提交方式，NoSpamNX好像没办法获得评论数据。粗略看了一下代码，觉得也不算太麻烦，遂集成到主题中。

NoSpamNX生成两个Name为随机值的隐藏文本框，其中一个文本框的内容也是随机值，放置在评论表单中，一般的Spam Robot会将此表单所有的项目填充，而正常的访客几乎不可能这么做(当然，无聊地用FireBug看到了这两个文本框然后打算折腾一下的人不算 )。因此，只要判断这两个输入框的内容就知道评论是不是Spam了。

Read more »