- ベストアンサー
Wordpress 迷惑コメント
Wordpressでコメントフォームを設置していないにもかかわらず コメント機能を有効にしているだけで入ってくる迷惑コメントがあります 彼らはいかにしてコメントを投稿しているのでしょうか? Wordpressのフォームには通常nonceが付けられていて Wordpressが生成したフォームからしか投稿ができないはずです コメントはnonceなしで投稿できるようになっているのでしょうか? それとも同サイトの適当なフォームのnonceを拾って使っているのでしょうか? あるいはWordpressが生成するnonceを予測しているのでしょうか?
- H240S18B73
- お礼率60% (78/128)
- PHP
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
>コメントはnonceなしで投稿できるようになっているのでしょうか? wp-comments-post.php自体にはnonceのチェックはなったと思います。フォームを使わずに他の方法で直接wp-comments-post.phpにPOSTされれば無力です。 というか、明示的に生成/チェックしないと自動ではnonceが使われなかったハズです。そうでなければNonce! Pleaseなどのプラグインが存在するわけがないです。 まぁ >コメントフォームを設置していないにもかかわらず >コメント機能を有効にしている なんて運用は普通はあり得ませんよね。コメント機能を有効にするということは(設置者として)コメントのチェックを行う義務が生じますから。
お礼
回答ありがとうございます これからコメント機能を使うにあたってどのような形で対策をせねばならないかという検討の段階で引っかかったところでした、コメント投稿のプログラムに認証がかかってないというのはいささか不安を感じるところではありますが、wp-comments-post.phpを見るとpre_comment_on_postで認証ができそうな感じなので、comment_form_default_fieldsでnonceを足せばnonceの認証はできそうなので、その方向でやってみます