当前位置：首页 > 知识问答 > WordPress评论回复邮件提醒出现重大漏洞了吗？

知识问答

WordPress评论回复邮件提醒出现重大漏洞了吗？

2025-09-21 20:45:45 来源：互联网转载

WordPress评论回复邮件提醒存在重大BUG，请尽快修复以提升用户体验。

问题分析

WordPress评论回复邮件提醒功能在提升用户体验和增加访客回头率方面发挥了重要作用，这一功能存在一个严重的BUG，容易被别有用心的人利用，攻击者可以通过回复所有评论来发送垃圾邮件，这不仅会在博客上留下垃圾评论，还会通过邮件通知将这些垃圾内容发送给评论者，这种情况不仅对评论用户造成困扰，也对博客本身带来极大的安全隐患。

原因分析

1、邮件函数漏洞：WordPress默认使用PHP mail()函数发送邮件，但很多云服务提供商（如阿里云、腾讯云）会禁止25端口通信，导致邮件无***常发送。

2、代码缺陷：现有的一些评论回复邮件提醒代码没有考虑到评论审核机制，使得未经审核的评论也能触发邮件发送。

3、缺乏安全验证：部分代码未对评论者的邮箱进行有效验证，导致任何人都可以伪造评论并触发邮件发送。

解决方案

1、设置评论审核：进入WordPress后台 > 设置 > 讨论，勾选“评论必须经人工批准”，确保所有评论必须经过管理员审核才能显示。

2、修改代码：将现有的评论回复邮件提醒代码进行修改，添加审核机制，以下是修改后的代码示例：

序号	代码内容
1	function ludou_comment_mail_notify($comment_id, $comment_status) {
2	// 评论必须经过审核才会发送通知邮件
3	if ($comment_status !== 'approve' && $comment_status !== 1)
4	return;
5	}
6	$comment = get_comment($comment_id);
7	if ($comment>comment_parent != '0') {
8	$parent_comment = get_comment($comment>comment_parent);
9	// 邮件接收者email
10	$to = trim($parent_comment>comment_author_email);
11	// 邮件标题
12	$subject = '您在[' . get_option('blogname') . ']的留言有了新的回复';
13	// 邮件内容，自行修改，支持HTML
14	$message = ' Hi, ' . $parent_comment>comment_author . ' ';
15	$message .= ' 您之前在《' . get_the_title($comment>comment_post_ID) . '》的留言： ' . $parent_comment>comment_content . ' ';
16	$message .= ' ' . $comment>comment_author . ' 给您回复: ' . $comment>comment_content . ' ';
17	$message .= ' 您可以comment_parent)) . '">点此查看回复完整內容 ';
18	$message .= ' 欢迎再度光临' . get_option('blogname') . ' ';
19	$message .= ' （此邮件由系统自动发送，请勿回复） ';
20	$message_headers = 'ContentType: text/html; charset="' . get_option('blog_charset') . '"