上一篇我讲了如何利用隐藏输入框来组织垃圾评论，今天登陆后台，居然还是发现了一篇垃圾评论~ 这是怎么回事？莫非是我的隐藏输入框不起作用了？不应该啊~本地测试都是没问题的。人肉Spam？更加不可能了，哪个foreigner会找到这个没什么人气小站来投放ad啊…

一时半会想不出原因，遂搁置一边，去cPanel转转。在看Last Visitor的时候，忽然发现了如下数据：(因为这件事出现在大约3天之前，Last Visitors的数据已经刷新，下面的截图是Raw Access Log中的数据）SpamRobot Access Log对比一下IP，跟spam的一模一样！可以看到，这个Robot先访问到了主页面，之后随机挑选了一篇日志，获得相关数据后直接POST，第三行POST返回代码是302，这是wp-comments-post.php返回的Location，最后它验证了一下，开闪。原来SpamRobot是直接使用POST方法向wp-comments-post.php提交数据的。这帮家伙！

知道了原因，接下来就要想想如何来防止了。如果你是按照上篇的说明修改了自己的主题的话，恭喜你！解决的办法很简单。只要在主题的function.php中加入如下代码就OK啦！

1
2
3
4
5
6
7

function spam_check($comment)
{
	session_start();//开启session
	if(empty($_SESSION['SS_1_ID'])){die("Spam Comment!");}//不存在session值,垃圾评论，结束后续操作
	return $comment;//否则返回评论数据，继续后续步骤
}
add_filter('preprocess_comment', 'spam_check', 1);

如果你使用了Akismet插件，建议修改一下插件代码。以2.2.6版本为例，修改第500行:

add_action('preprocess_comment', 'akismet_auto_check_comment', 1);

把其中的”1″改大一点，比如”5″。这样可以防止产生”潜在”的冲突(我尝试过不修改，似乎也工作正常，但我不能保证)。

主要的思想就是利用session。还记得我在上一篇中的三个随机生成的Session值吗？在处理评论的时候，相关函数会对session进行验证。这里我们可以直接检查是否存在之前生成的随机session值(我这里用的是”SS_1_ID”)。一般的SpamRobot都是直接发送数据，不会保存Cookie。这样在对应于SpamRobot的session中就不存在”SS_1_ID”。

如果你没有使用我的方法改造自己的主题，这里也有个大概的解决办法。前提还是使用session。将commenter的name后拼上某个session值，再到函数中去验证。这个办法我没有尝试，从理论上将应该是没什么问题的。尝试自己解决问题，你会发现很多的乐趣！

当然，如果某个高级的SpamRobot能保存Cookie，这个方法就失效了。怎么办呢？别忘了，咱还有Akismet啊~