1. Для начала 41-ую строку
   /wp-content/themes/<ваша тема>/forms/comment.php

   41. <textarea name="comment" id="comment" rows="8" cols="40" tabindex="1"></textarea>

   меняем на:

   /wp-content/themes/<ваша тема>/forms/comment.php

   41. <textarea name="komment" id="komment" rows="8" cols="40" tabindex="1"></textarea>
2. Далее 55-ую строку
   /wp-content/themes/<ваша тема>/forms/comment.php

   55. <input type="text" name="author" id="author" value="<?php echo $comment_author; ?>" size="22" tabindex="2" />

   меняем на:

   /wp-content/themes/<ваша тема>/forms/comment.php

   55. <input type="text" name="aftar" id="aftar" value="<?php echo $comment_author; ?>" size="22" tabindex="2" />
3. 60-ую строку
   /wp-content/themes/<ваша тема>/forms/comment.php

   60. <input type="text" name="email" id="email" value="<?php echo $comment_author_email; ?>" size="22" tabindex="3" />

   меняем на:

   /wp-content/themes/<ваша тема>/forms/comment.php

   60. <input type="text" name="pochta" id="pochta" value="<?php echo $comment_author_email; ?>" size="22" tabindex="3" />
4. 72-ую строку
   /wp-content/themes/<ваша тема>/forms/comment.php

   72. <input type="text" name="url" id="url" value="<?php echo $comment_author_url; ?>" size="22" tabindex="4" />

   меняем на:

   /wp-content/themes/<ваша тема>/forms/comment.php

   72. <input type="text" name="sait" id="sait" value="<?php echo $comment_author_url; ?>" size="22" tabindex="4" />
5. Затем в файле /wp-comments-post.php меняем код, где упоминаются эти поля формы:
   /wp-comments-post.php

   40. $comment_author = ( isset($_POST['author']) ) ? trim(strip_tags($_POST['author'])) : null;
   41. $comment_author_email = ( isset($_POST['email']) ) ? trim($_POST['email']) : null;
   42. $comment_author_url = ( isset($_POST['url']) ) ? trim($_POST['url']) : null;
   43. $comment_content = ( isset($_POST['comment']) ) ? trim($_POST['comment']) : null;

   Заменяя оригинальные имена на полей на те, что придумали ранее:

   /wp-comments-post.php

   40. $comment_author = ( isset($_POST['aftar']) ) ? trim(strip_tags($_POST['aftar'])) : null;
   41. $comment_author_email = ( isset($_POST['pochta']) ) ? trim($_POST['pochta']) : null;
   42. $comment_author_url = ( isset($_POST['sait']) ) ? trim($_POST['sait']) : null;
   43. $comment_content = ( isset($_POST['komment']) ) ? trim($_POST['komment']) : null;

Лично у меня после этих модификаций спам полностью прекратился. А до этого было по 15-20 штук спамерских сообщений в сутки. Хоть на сайте они и не появлялись, так как Akismet их прилежно отлавливал, но все равно нужно было вручную удалять из админки весь этот хлам, чтобы не замусоривать базу данных. Новые имена полей могут быть любыми, лишь бы они отличались от исходных.

Недостаток такого метода в том, что после обновления WordPress изменения, скорей всего, потеряются и нужно будет либо проделать правки заново, либо пред обновлением сохранить файлы comment.php и wp-comments-post.php, а после обновления – заменить новые на старые. Кроме того, спам через trackback-и все равно пролезет. Поэтому нужно либо их запретить (например, правилами модуля Apache ModRewrite), либо поставить какой-то плагин вроде Simple Trackback Validation.

Все это проверялось на версиях WordPress 2.9.0 и 2.9.1. Для других версий могут быть отличия в коде и в номерах строк.

Похожие заметки:

1. Тонкая настройка wordpress В этой статье освещены следующие темы: Тайм-аут при загрузке файлов с удаленных хостов Отложенная публикация Удаление черновиков Статический блок в...
2. Внедряем Captcha в CuteNews Защита от спама сейчас – просто необходимый элемент любого сайта, где присутствует возможность заполнения каки-либо форм (будь то форма для...
3. Ошибка Samba: Unable to connect to CUPS server Часто встречается ситуация, когда на файловом сервере под Samba, где никаких принтеров нет и не будет, в лог-файл smbd.log постоянно...
]]> http://avz.org.ua/wp/2010/01/23/wp-autospam-blocking/feed/ 3 http://avz.org.ua/wp/2009/08/24/cutenews-with-captcha/ http://avz.org.ua/wp/2009/08/24/cutenews-with-captcha/#comments Sun, 23 Aug 2009 21:04:58 +0000 Admin http://avz.org.ua/wp/?p=418
6. Сброс пароля администратора в системе «ЛИГА-Закон» Чтобы сбросить пароль администратора в системе Liga, нужно в директорииc:\program files\liga70\data удалить файлы ubd.dat и ubd.idx. При этом вся информация...

Защита от спама сейчас – просто необходимый элемент любого сайта, где присутствует возможность заполнения каки-либо форм (будь то форма для обратной связи с автором, либо форма добавления ссылки в каталог ссылок или еще что-то подобное). Одним из наиболее эффективных способов противодействия появлению спама на веб-страницах является CAPTCHA (расшифровывается как Completely Automated Public Turing test to tell Computers and Humans Apart) т.е. одна из разновидностей теста Тьюринга. Пример такого теста в достаточно жеcтком для пользователя варианте :) приведен на картинке слева.

Порядок установки CAPTCHA в новостной скрипт CuteNews.

1. Добавляем в файл site/data/Default.tpl в код формы ввода комментария (примерно 62-ая строка):
   Текст на картинке: <input type=’text’ name=’captcha’ /> <img src=’captcha.php’ alt=’picture with code’ /><br />
2. Положить в корень сайта файлы captcha.php и Comic_Sans_MS.ttf. Взять их можно тут.
3. Поправить файл site/inc/shows.inc.php, добавив в него начиная примерно со 172-ой строки следующее:
   @session_start();
   if (! (isset($_SESSION["captcha"]) && $_SESSION["captcha"]===$_POST["captcha"]) ) {
   echo "<div align=\"center\" style=\"font-size: 16px; color: red\">Текст с картинки введен НЕВЕРНО<br/><br/><a href=\"javascript:history.go(-1)\">Вернуться назад</a></div>";
   $CN_HALT = TRUE;
   break 1;
   }
   unset($_SESSION["captcha"]);
4. Поудалять из файла site/data/comments.txt спам-комментарии, которые попали туда до того, как была прикручена captcha :)

Чтобы эта версия captcha работала, PHP должен быть сконфигурирован со следующими опциями (актуально для версии 5.3.0):
−−with-gd=/usr
−−enable-gd-native-ttf
−−with-freetype-dir=/usr
−−with-zlib
−−with-zlib-dir=/usr

Путь к библиотекам (/usr), естественно, следует заменить так, чтобы он был актуален для Вашей системы.

Похожие заметки:

1. Сброс пароля администратора в системе «ЛИГА-Закон» Чтобы сбросить пароль администратора в системе Liga, нужно в директорииc:\program files\liga70\data удалить файлы ubd.dat и ubd.idx. При этом вся информация...

]]>

• Тайм-аут при загрузке файлов с удаленных хостов

• Отложенная публикация

• Удаление черновиков

• Статический блок в начале каждого поста

• Подсветка кода

• Проблемы с установкой плагинов

• Отключение авто-замены

• Запрет запуска скриптов из директории uploads

• Сброс пароля пользователя

1. Столкнулся с проблемой: когда пытался обновить wordpress до последней версии через админку, кликая по ссылке «обновить автоматчески», получал ошибку примерно такого содержания: «за 30 секунд скачано только 1700000 байт из 2600000, неудача». Оказалось, что шейпер на входящий трафик моего хостера не позволял за 30 секунд (а именно такой timeout был установлнен по умолчанию) стянуть весь диструбитив wordpress-а. Чтобы поменять этот тайм-аут, нужно в файле wp-admin/includes/file.php найти строку
   1. $response = wp_remote_get($url, array('timeout' => 30));

   и поменять ее, например, на

   1. $response = wp_remote_get($url, array('timeout' => 60));

   Таким образом, мы вдвое увеличили время ожидания отработки запроса.

   Дополнение от 2010-01-24. Начиная с версии 2.9.1, таймаут по умолчанию уже установлен в 300 сек (или 5 минут). Так что теперь эта проблема будет встречаться намного реже.

2. Отложенная публикация в wordpress 2.7. Чтобы заметки, запланированные на публикацию в будущем таки появлялись в блоге, нужно в cron добавить вызов скрипта wp-cron.php c параметром check. Значение параметра легко определить, временно добавив перед строкой
   1. if ( $_GET['check'] != wp_hash('187425') );

   что-то типа

   1. echo(wp_hash('187425'));

   Тогда, набрав в адресной строке броузера http://<вашблог>/wp-cron.php, можно увидеть значение хеша (46cbe1674da1d2888104482d6ed4f87f). Следовательно, из крона обращаться к http://<вашблог>/wp-cron.php?check=46cbe1674da1d2888104482d6ed4f87f. Естественно, для предотвращения DoS-атак лучше заменить стандартную последовательность 187425 на что-то другое. В WordPress 2.8.2 в файле wp-cron.php уже нет такой проверки, поэтому достаточно его просто вызывать без параметров, например добавив в системный cron что-то такое:

   1. wget http://avz.org.ua/wp-cron.php -O /dev/null 2> /dev/null
3. Чтобы удалить из базы данных ревизии постов (промежуточные их версии, которые образовываются в результате внесения изменений и дополнения постов), нужно выполнить такой простой SQL-запрос:
   1. DELETE FROM wp_posts WHERE post_type='revision';

   Есть еще и более изящный и правильный метод удаления черновых заметок, который описан ниже в комментариях. Другие возможные значения поля ‘post_type’ – attachment, page, post (для версии 2.8.4). Чтобы вообще запретить создание ревизий, нужно в файл wp-config.php добавить строку

   1. define('WP_POST_REVISIONS', false);
4. Если нужно, чтобы вверху над каждым постом отображался один и тот же блок HTML-кода, можно сделать так. Находим файл /wp-content/themes/<имя_темы>/content/content-default.php, и вставляем в него перед вот этой 25-ой строкой
   content-default.php

   25. <div id="post-content-<?php the_ID() ?>" class="hentry full <?php sandbox_post_class() ?>">

   нужный нам html-блок. Этот блок удобно заключить в конструкцию <div id="myblock">…</div> и в файле со стилями CSS определить атрибуты для нашего блока. CSS-файл находится в директории /wp-content/themes/<имя_темы>/css/ и имеет имя, совпадающее с именем темы и расширение .css. Пример опеределения атрибутов:

   1. div#myblock {padding-top: 10px; text-align: center}
5. Если хотим, чтобы блоки с программным кодом красиво выделялись, как в этом посте – качаем и устанавливаем plugin Highlight Source Pro. Поддерживает более 90 языков, включая HTML, PHP, Perl, bash, CSS. Пример использования можно посмотреть на скриншоте.
6. Если при установке плагинов WordPress ничего не качает и вместо этого спрашивает «информацию для соединения», как на этом скриншоте, то это означает, что он не может получить доступ на запись в каталог /wp-content/plugins и надо проверить права доступа. Запрашиваемая информация для соединения – это атрибуты доступа к FTP-серверу, на котором работает WordPress. Это таким образом WordPress пытается пойти по обходному пути когда видит, что у него нет прямого доступа к файловой системе.
7. Если нужно отключить авто-замену двойного дефиса на красивое тире (а это бывает нужно, например, при публикации документации по linux-командам, ключи (параметры) которых часто именно и начинаются с ‘--’), то нужно немного модифицировать код функции wptexturize. Для этого этот код
   /wp-includes/formatting.php

   57. $static_characters = array_merge(array('—', ' -- ', '--', ' – ', 'xn&#8211;', '…', '«', '\'s', '\'\'', ' ™'), $cockney);
   58. $static_replacements = array_merge(array('&#8212;', ' &#8212; ', '&#8211;', ' &#8211; ', 'xn--', '&#8230;', $opening_quote, '&#8217;s', $closing_quote, ' &#8482;'), $cockneyreplace);

   меняем на этот код:

   /wp-includes/formatting.php

   57. $static_characters = array_merge(array('—', ' – ', 'xn&#8211;', '…', '«', '\'s', '\'\'', ' ™'), $cockney);
   58. $static_replacements = array_merge(array('&#8212;', ' &#8211; ', 'xn--', '&#8230;', $opening_quote, '&#8217;s', $closing_quote, ' &#8482;'), $cockneyreplace);

   Похоже, что и в этой же функции происходит замена трех точек на unicode-символ троеточия и еще какие-то манипуляции с кавычками.

8. Если WordPress живет на сервере с Apache, то для запрета выполнения PHP- и CGI-скриптов в директории, куда wordpress сохраняет пользовательские файлы (/wp-content/uploads), достаточно положить туда файл .htaccess следующего содержания:
   /wp-content/uploads/.htaccess

   1. <FilesMatch "\.(phtml|php3?|pl|cgi)$">
   2.   Deny from all
   3. </FilesMatch>

   Это весьма рекомендуется сделать, поскольку снижает риск успешного взлома в случае, если злоумышленнику каким-то образом удастся загрузить php-shell или другие инструменты для своих темных делишек – запустить он их так просто не сможет. Также очень рекомендуется по возможности запрещать в firewall-е установку исходящих соединений с сервера хостинга на удаленные ресурсы.

9. Для изменения пароля пользователя (например, если он был успешно забыт) достаточно одного простого SQL-запроса. Например, чтобы установить для пользователя admin пароль Gyhusdf3f, делаем так:
   1. UPDATE wp_users SET user_pass=MD5('Gyhusdf3f') WHERE user_login='admin';

Похожие заметки:

1. WordPress: борьба со спамом Посвящается тем, кого утомили тонны спама в комментариях, оставляемые с единственной целью – повесить ссылку на продвигаемый спамером сайт. Есть,...
2. Проблемы с кодировкой в CMS Danneo 0.5.1 howto: лечим глюки с кодировкой в danneo 0.5.1. Поднять все на локалхосте (в денвере). Сделать дамп через phpmyadmin. Убедится, что...
3. Штучки с sed-ом sed – это stream editor. Часто используется в скриптах для различных преобразований текста. Ниже приведено несколько типичных примеров. Удаление из...

1. Поднять все на локалхосте (в денвере).
2. Сделать дамп через phpmyadmin. Убедится, что кодировка дампа – cp1251.
3. Залить дамп на сервер с помощью команды
   mysql -u -h 127.0.0.1 --default-character-set=cp1251 -p < localhost_danneo_051_dump.sql

4. С помощью phpmyadmin на сервере проверяем, что все читабельно, например, в таблице block.
5. Если видим в админке вопросы вместо русского, добавляем строчку
   $db->query("set names cp1251");
   в файл apanel/base/danneo.database.php в самый конец.

6. Если видим на главной странице вопросы вместо русского, добавляем строку
   $db->query("set names cp1251");
   в файл index.php.

Похожие заметки:

1. Раздаем права в samba по IP-адресу Представим ситуацию: есть samba-пользователь vasya, который ходит на samba-сервер с компьютеров с IP-адресами 172.16.0.7 и 172.16.0.13, и нужно сделать так,...
2. Строим NAT средствами FreeBSD Для наглядности считаем, что внутренняя сеть адресуется блоком 192.168.0.0/24, шлюзом для внутренней сети выступает 192.168.0.1, IP-адрес внешнего интерфейса роутера –...
3. Проблемы с Белоснежкой и семью гномами в Windows 2000 Цитата с сайта Microsoft: При попытке воспроизвести DVD-фильм "Белоснежка и семь гномов" ("платиновая" коллекция) пользователь может столкнуться с искажением или...