使用本机WordPress注释系统安全吗？

Question

本机WP注释系统只需要显示名称和电子邮件就可以留下评论。因此，如果我知道一个“知名”的人的电子邮件，我可以留下一个评论使用他/她的身份(也是万事通)。这是很好的练习吗？

谢谢你的意见！

Answer 1

WordPress默认设置是允许任何人评论，只要他们留下一个名字和电子邮件。电子邮件未经核实，所以你可以使用别人的电子邮件和凹印头像，并将发表评论。

最佳做法是验证作出评论的用户的电子邮件地址。在WordPress核心功能中，这需要用户注册帐户才能进行注释。

Answer 2

绝对不允许，这就是为什么要么只允许注册用户留下注释，要么可以使用wp_set_comment_status()和wp_mail()构建自定义函数，只有在通过电子邮件进行验证之后才能显示评论。

更新：

在这种情况下，我已经禁用了“在注释出现之前”设置中的两个选项，在大多数情况下，这可能是必需的。

在这种情况下，当未经身份验证或未登录的评论员使用名称和电子邮件字段留下评论时，评论员可以使用任何电子邮件，因为在我们手动完成或使用任何第三方解决方案之前，没有其他可用的验证。

评论员可以使用任何受欢迎的博主/人的名字和电子邮件，如果同一封电子邮件是在gravatar注册的，那么它将获取gravatar个人资料图像，这可能会误导其他用户，任何人都可以盗取任何人的gravatar身份。

Answer 3

本机WordPress注释系统，没有任何类型的检查，很可能是个坏主意。然而，该系统确实包括了要求用户在评论前注册一个帐户的能力。再加上Akismet插件和WordFence (或其他一些安全插件)的注册版本，公共垃圾邮件将减少到最低限度。