lansh频道™
活着,就要追逐! ………………..to do to change！！！

今天突然发现了一个WordPress 的评论bug。

我用的是mg12同学的inove主题，这个主题有一亮点就是网民的评论头像在左边，管理员的评论在右边，明朗的区分了访问者和管理者，让网民一眼就能看出来这个评论是谁发的。     但是我发现我以前的一篇文章的评论我自己的头像却出奇的显示在左边，但是明明是我自己评论的啊，其他我自己的评论都是在右边，为何这个评论却在左边呢？

带着这个问题我找了找，最后发现问题的根源是由于我当时评论的时候填写的不是我管理员资料里面的邮箱！     原来WordPress判断你是不是管理员只根据你评时填写的邮箱。只要你填写的是管理员的邮箱，你就是管理员！     也就是说如果你知道这个网站的管理员邮箱，你可以在这个网站上一直充当管理员和大家交流！ 邮箱和用户名是WordPress评论必填选项，但是WordPress却没有把好关，没有对其验证过！用户名和邮箱都可以直接填管理员的（不需要管理员密码），下面是我在自己网站上测试的截图：

我填上管理员帐号的邮箱，评论上显示的就是管理员了（头像在右边），头像都是调用的管理员在gravatar上的头像，但是gravatar没错。       对于个人博客来说，大家架设博客都是为了交朋友，邮箱联系是必备的，每个博主基本都把自己的邮箱和msn、gtalk写在博客上供大家联系！

这个bug可以说很“小”，应该来说一个小小的博客，至于有人专门来冒充你吗？没那么无聊，但是这个冒充手段太轻松太容易了，只要知道这个网站管理员的名字和邮箱，连密码都不需要就可以直接充当管理员评论。不费任何周折,垂手可得！

很多名博都是基于WordPress架设的(在国外WordPress更是铺天盖地)，流量那么高.每天关注的人那么多，如果有涉及到金钱业务，很可能被人利用!     比如某网民购买了某博主的一些服务/产品，正留言给博主如何汇钱给他时，你去填上博主的用户名和博主的邮箱，堂而皇之的在评论里留下你的银行卡号……..

幸好WordPress还有评论审核功能，但是你得每天审核你网站的每一条评论！对于没有开启评论审核的网站来说，无疑是相当危险的！也就是说WordPress+无评论审核=可以冒充管理员

下面我们来看看其他国产博客程序的评论验证如何？

国内大部分是ASP的博客程序，比较出名的就是pjblog和z-blog了，我到pjblog官方去，PJblog的管理员帐户是puterjam(基本文章作者就是管理员帐户)。pjblog评论只需填用户名，如下！

我们填上puterjam，提交！

有验证！   想冒充没门！

然后看看z-blog，在z-blog里面最出名的就是月光博客，随便找篇文章评论一下,z-blog评论也只需填用户名，月光博客的管理员帐户是williamlong，我们填上提交。

很显然Z-blog意识到这点，直接叫你不要冒名顶替！

但是WordPress没有对用户名过滤，没有验证用户名是否存在，必填的邮箱也没有验证是否是管理员邮箱！这是一个很小的问题，但是大家不能忽略，在WordPress没有很好的验证机制前，用WordPress的朋友最好开启评论审核功能，严谨审核你博客每天的每一个评论是否合格！^^

PS：设置评论审核的时候还需要注意的一点是必须选中“评论必须得到管理员批准 ” 而不是“评论作者必须有过通过批准的评论”，  如果你选择了后者，那么你这个评论审核形同虚设！因为管理员的评论本身就不需要审核，而且已经显示出来的其他用户的评论也不需要再审核，那么别人冒充留言的时候是直接显示出来的，不会有审核提示！所以务必选择“评论必须得到管理员批准”截图如下：

解决方案已出：http://www.ctovip.com/archives/589

原创文章如需转载，请邮件通知我并注明：转载自lansh频道 [ http://www.ctovip.com ]

本文链接地址：http://www.ctovip.com/archives/569

除非注明，lansh博客文章均为原创，转载请以链接形式标明本文
分享按钮