WordPress

spam – Boty publikujące komentarze na stronach

oen.pl

  • 18 marca, 2016
  • 4 min read
spam – Boty publikujące komentarze na stronach


Aby dodać nowy komentarz, potrzebujesz tylko kilku pól i a POST metoda.

W typowym formularzu komentarza wnioski są przesyłane do http://www.example.com/wp-comments-post.php który analizuje $_POST dane i wysyła je do wp_handle_comment_submission.

A POST metoda różni się od A GET request w tym, że parametry są zwykle wysyłane w sposób niewizualny. Z GET możesz zobaczyć www.example.com?foo=bar ale w POST metoda parametry są wysyłane oprócz żądania adresu URL, więc widzisz tylko wizualnie www.example.com.

Inną rzeczą, na którą należy zwrócić uwagę, jest to, że page/post Identyfikator można zwykle postrzegać jako klasę w sekcji treści strony. <body class="page page-id-1234" więc aby przesłać komentarz do strony, naprawdę potrzebujesz tylko tego identyfikatora w połączeniu z wp-comments-post.php adres URL

Oto przykład użycia POSTMAN skonstruować żądanie dla PHP:

<?php

$curl = curl_init();

curl_setopt_array($curl, array(
  CURLOPT_URL => "
  CURLOPT_RETURNTRANSFER => true,
  CURLOPT_ENCODING => "",
  CURLOPT_MAXREDIRS => 10,
  CURLOPT_TIMEOUT => 30,
  CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
  CURLOPT_CUSTOMREQUEST => "POST",
  CURLOPT_POSTFIELDS => "-----011000010111000001101001\r\nContent-Disposition: form-data; name=\"email-notes\"\r\n\r\nemail-notes-here\r\n-----011000010111000001101001\r\nContent-Disposition: form-data; name=\"comment_post_ID\"\r\n\r\n134\r\n-----011000010111000001101001\r\nContent-Disposition: form-data; name=\"author\"\r\n\r\n4\r\n-----011000010111000001101001\r\nContent-Disposition: form-data; name=\"email\"\r\n\r\nbrandondragonballzzzzzz@gmail.com\r\n-----011000010111000001101001\r\nContent-Disposition: form-data; name=\"url\"\r\n\r\n form-data; name=\"comment\"\r\n\r\nspam_from_stackexchange_brandozzzzzzz -  -  form-data; name=\"comment_parent\"\r\n\r\n134\r\n-----011000010111000001101001\r\nContent-Disposition: form-data; name=\"_wp_unfiltered_html_comment\"\r\n\r\n_wp_unfiltered_html_comment\r\n-----011000010111000001101001--",
  CURLOPT_HTTPHEADER => array(
    "cache-control: no-cache",
    "content-type: multipart/form-data; boundary=---011000010111000001101001",
    "postman-token: c34ed3e0-fcc4-2b4b-75bf-d864135cddde"
  ),
));

$response = curl_exec($curl);
$err = curl_error($curl);

curl_close($curl);

if ($err) {
  echo "cURL Error #:" . $err;
} else {
  echo $response;
}

I to samo żądanie w jQuery:

var form = new FormData();
form.append("email-notes", "email-notes-here");
form.append("comment_post_ID", "134");
form.append("author", "4");
form.append("email", "brandondragonballzzzzzz@gmail.com");
form.append("url", "
form.append("comment", "spam_from_stackexchange_brandozzzzzzz -  - 
form.append("comment_parent", "134");
form.append("_wp_unfiltered_html_comment", "_wp_unfiltered_html_comment");

var settings = {
  "async": true,
  "crossDomain": true,
  "url": "
  "method": "POST",
  "headers": {
    "cache-control": "no-cache",
    "postman-token": "a66dc74a-685e-719c-75be-9c81ab69bf5e"
  },
  "processData": false,
  "contentType": false,
  "mimeType": "multipart/form-data",
  "data": form
}

$.ajax(settings).done(function (response) {
  console.log(response);
});

Jak widać, wszystkie dane są usuwane z adresu URL i wysyłane wraz z polami danych. Możesz również zobaczyć, że front-end WP nie jest wymagany do wysłania prośby o komentarz i że każdy język może przesłać komentarz z dowolnego miejsca. Niesamowite prawda? 🙁

Warto przeczytać!  edytor bloków — jak sprawić, by ikona dołączania pojawiała się częściej w przypadku użycia wewnętrznego bloku

Biorąc to pod uwagę, kiedy wypróbowałem tę metodę na opisanej stronie, otrzymałem odpowiedź zwrotną:

<html>...

<p>Sorry, comments are closed for this item.</p>

...</html>

Dzieje się tak dlatego, że proste sprawdzenie, czy strona akceptuje komentarze:

if ( ! comments_open( $comment_post_ID ) ) {

Następnie rzuca i błąd, jeśli nie są otwarte:

return new WP_Error( 'comment_closed', __( 'Sorry, comments are closed for this item.' ), 403 );

Tak więc w twoim przypadku może istnieć inny sposób lub może działać coś innego, co uruchamia nowy komentarz:

$commentdata = compact(
    'comment_post_ID',
    'comment_author',
    'comment_author_email',
    'comment_author_url',
    'comment_content',
    'comment_type',
    'comment_parent',
    'user_ID'
);

$comment_id = wp_new_comment( wp_slash( $commentdata ) );


Źródło

Poprzedni artykuł

Następny artykuł