<?php
    $b = rand(1,9);
    $c = rand(1,4);
    if($c==1){$a = rand(0,40); $s = '+';}
    elseif($c==2){$a = rand(0,30)+$b; $s = '-';}
    elseif($c==3){$a = rand(0,5); $s = '*';}
    else {$a = $b*$c; $s = '/';}
    echo _e("$a $s $b =", 'inove'); ?>
    <input type="text" name="cal" id="cal" class="textfield" value="" size="4" tabindex="5" style="width:20px" /><?php if ($req) _e('(required)', 'inove'); ?>
    <input name="a" type="hidden" value="<?php echo $a;?>" />
    <input name="b" type="hidden" value="<?php echo $b;?>" />
    <input name="c" type="hidden" value="<?php echo $c;?>" />

在文件wp-comments-post.php中加入如下代码进行验证(我是填写在：if ( '' == $comment_content )上):

if ( !$user->ID ) {
    $a = trim($_POST['a']);
    $b = trim($_POST['b']);
    $c = trim($_POST['c']);
    $sub = trim($_POST['cal']);
    if($c==1) $res = (bool)($sub == $a + $b);
    elseif($c==2) $res = (bool)($sub == $a - $b);
    elseif($c==3) $res = (bool)($sub == $a * $b);
    elseif($c==4) $res = (bool)($sub == $a / $b);
    else $res = false;

    if(!$res || empty($sub)){
        wp_die( __('Error: please enter the right calculating result.') );
    }
}

这篇文章来自 迷途知返

WordPress 一直以来都有个问题, 如果博主设置评论不需要审核批准就能发表, 那么有可能被人冒名顶替管理员或其他注册用户进行留言. WordPress 是以 email 来识别留言者的, 也就是说, 只要有人知道管理员的邮箱, 那就可以冒充他留言. 虽说管理员可以随后删除这些评论, 但是万一管理员长期不在线或者有人恶意留言那还是挺麻烦的.

这个问题在我刚使用 WordPress 的时候 (WP 2.2) 就发现了, 但这应该不是 bug, 只能认为是设计不周. 后台有提供两种评论审核机制的, 一种是全部都要审核, 另一种是对审核过的不再需要审核. 但这对网站管理和用户体验来说都是极大的挑战, 所以大多数站长都不会打开审核功能, 就这样留下了隐患.

我在以前的主题中试过加入一些 JavaScript 简单的阻挡一下冒充行为, 但觉得这只能防君子, 形同虚设, 后来也就撤了. 但最近有位同志为了这个跑我的博客来搞测试, 把我给郁闷死了. 所以还是想办法解决了它吧. 其实处理方法很简单, 就是在提交评论的时候多加一个检验, 如果评论者用了管理员或者注册用户的 email 进行留言, 就跳转报错页面. 处理方法如下:

1. 到 WordPress 的根目录, 打开文件 wp-comments-post.php. (每次发表评论都要调用它, 就拿它开刀吧.)
2. 查找 if ( '' == $comment_content ), 在它之前追加以下代码. (一般在处理内容之前处理 email.)

if (!$user->ID) {
	$result_set = $wpdb->get_results("SELECT display_name, user_email FROM $wpdb->users WHERE display_name = '" . $comment_author . "' OR user_email = '" . $comment_author_email . "'");
	if ($result_set) {
		if ($result_set[0]->display_name == $comment_author) {
			wp_die( __('Error: you are not allowed to use the nickname that you entered.') );
		} else {
			wp_die( __('Error: you are not allowed to use the email that you entered.') );
		}
	}
}

我这样处理, 会对包括管理员在内的所有注册用户的 email 进行检测. 但如果你只是想禁止输入管理员或者作者等特殊群体的 email, 那么你需要在 SQL 中关联上 $wpdb->usermeta 这个表, 并对 meta_key = 'wp_capabilities' 的项进行筛选.

看到这, 你是不是还有个问题? 为什么不用 add_action('comment_form', 'email_validate'); 处理呢? 因为用这个的话, email_validate 方法只会在评论提交完成后才触发, 评论都已经发表成功了, 那么 email 的检测就失去意义了.

好吧! 相信你已经知道怎么干了, 我就不多说了. 如果你对此怀疑, 可以在这里用我的 email 测试一下.

# temp redirect wordpress content feeds to feedburner

 RewriteEngine on
 RewriteCond %{HTTP_USER_AGENT} !FeedBurner    [NC]
 RewriteCond %{HTTP_USER_AGENT} !FeedValidator [NC]
 RewriteRule ^feed/?([_0-9a-z-]+)?/?$ http://feeds2.feedburner.com/catswhocode [R=302,NC,L]

2. 去除WordPress分类链接中的“/category/”：
默认情况下，WordPress的分类链接显示的样式为：

http://a18zhizao.com/blog/category/tech

其实其中的category部分没有任何意义，如果想去掉它可以修改.htaccess文件(替换yourblog为自己的网址)。

RewriteRule ^category/(.+)$ http://www.yourblog.com/$1 [R=301,L]

3. 使用浏览器缓存：
可以修改.htaccess文件让访问者使用浏览器缓存来优化其访问速度。

#FileETag MTime Size

  
       ExpiresActive on
       ExpiresDefault "access plus 1 year"
   

4. 压缩静态数据：
可以修改.htaccess文件来压缩需要访问的数据（传输后在访问端解压），从而可以减少访问流量和载入时间。

AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html

5. 重定向日期格式的WP Permalink链接地址为Postname格式：
如果你目前的Permalink地址为/%year%/%monthnum%/%day%/%postname%/ 的格式，那么我强烈推荐你直接使用/%postname%/ ，这样对搜索引擎要舒服得多。首先你需要在WordPress的后台设置输出的Permalinks格式为/%postname%/ 。然后修改.htaccess文件来重定向旧的链接，不然别人以前收藏你的网址都会转成404哦！(替换yourdomain为自己的网址)

RedirectMatch 301 /([0-9]+)/([0-9]+)/([0-9]+)/(.*)$ http://www.yourdomain.com/$4

6. 阻止没有referrer来源链接的垃圾评论：
设置.htaccess文件可以阻止大多数无Refferrer来源的垃圾评论机器人Bot Spammer。其会查询访问你网站的来源链接，然后阻止其通过wp-comments-post.php来进行垃圾评论。

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

7. 定制访问者跳转到维护页面：
当你进行网站升级，模板修改调试等操作时，最好让访问者临时跳转到一个声明的维护页面(和404错误页面不同)，来通知网站暂时无法访问，而不是留下一片空白或者什么http bad错误。（替换maintenance.html为自己定制的维护页面网址，替换123.123.123.123为自己目前的IP地址，不然你自己访问也跳转哦）

RewriteEngine on
RewriteCond %{REQUEST_URI} !/maintenance.html$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123
RewriteRule $ /maintenance.html [R=302,L]

8. 设置你的WordPress防盗链：
盗链是指其它网站直接使用你自己网站内的资源，从而浪费网站的流量和带宽，比如图片，上传的音乐，电影等文件。（替换mysite为自己的网址和/images/notlink.jpg为自己定制的防盗链声明图片）

RewriteEngine On
#Replace ?mysite\.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Replace /images/nohotlink.jpg with your "don't hotlink" image url
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

9. 只允许自己的IP访问wp-admin：
如果你不是团队合作Blog，最好设置只有自己能够访问WP的后台。前提是你的IP不是像我一样动态的哦。（替换xx.xx.xx.xx为自己的IP地址）

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic

order deny,allow
deny from all
allow from xx.xx.xx.xx

10. 阻止指定IP的访问：
如果你想要阻止指定IP的访问，来防止其垃圾评论，那么你可以创建自己的Backlist黑名单。(替换xx.xx.xx.xx为指定的IP地址)

order allow,deny
deny from xx.xx.xx.xx
allow from all

正确有效的方法是这样

我还是菜鸟这问题苦恼了好几天摸索了出来
希望对有同样烦恼的朋友能有所帮助

1. style.css : CSS(样式表)文件，不可缺少版权部分，真正CSS样式表可以放在其他文件；
2. index.php : 主页模板，不可缺少；
3. archive.php : Archive/Category模板，如果缺少，默认为index.php的显示；
4. 404.php : Not Found 错误页模板，如果缺少，默认为index.php的显示；
5. comments.php : 留言/回复模板，不可缺少；
6. footer.php : Footer模板，可合并到index.php；
7. header.php : Header模板，可合并到index.php；
8. sidebar.php : 侧栏模板，可合并到index.php；
9. page.php : 内容页(Page)模板，如果缺少，默认为index.php的显示；
10. single.php : 内容页(Post)模板，如果缺少，默认为index.php的显示；
11. searchform.php : 搜索表单模板，可合并到index.php；
12. search.php : 搜索结果模板，如果缺少，默认为index.php的显示；

（二）基本条件判断Tag

1. is_home() : 是否为主页
2. is_single() : 是否为内容页(Post)
3. is_page() : 是否为内容页(Page)
4. is_category() : 是否为Category/Archive页
5. is_tag() : 是否为Tag存档页
6. is_date() : 是否为指定日期存档页
7. is_year() : 是否为指定年份存档页
8. is_month() : 是否为指定月份存档页
9. is_day() : 是否为指定日存档页
10. is_time() : 是否为指定时间存档页
11. is_archive() : 是否为存档页
12. is_search() : 是否为搜索结果页
13. is_404() : 是否为 “HTTP 404: Not Found” 错误页
14. is_paged() : 主页/Category/Archive页是否以多页显示

（三）Header部分常用到的PHP函数

1. <?php bloginfo('name'); ?> : 博客名称(Title)
2. <?php bloginfo('stylesheet_url'); ?> : CSS文件路径
3. <?php bloginfo('pingback_url'); ?> : PingBack Url
4. <?php bloginfo('template_url'); ?> : 模板文件路径
5. <?php bloginfo('version'); ?> : WordPress版本
6. <?php bloginfo('atom_url'); ?> : Atom Url
7. <?php bloginfo('rss2_url'); ?> : RSS 2.o Url
8. <?php bloginfo('url'); ?> : 博客 Url
9. <?php bloginfo('html_type'); ?> : 博客网页Html类型
10. <?php bloginfo('charset'); ?> : 博客网页编码
11. <?php bloginfo('description'); ?> : 博客描述
12. <?php wp_title(); ?> : 特定内容页(Post/Page)的标题

（四）模板常用的PHP函数及命令

1. <?php get_header(); ?> : 调用Header模板
2. <?php get_sidebar(); ?> : 调用Sidebar模板
3. <?php get_footer(); ?> : 调用Footer模板
4. <?php the_content(); ?> : 显示内容(Post/Page)
5. <?php if(have_posts()) : ?> : 检查是否存在Post/Page
6. <?php while(have_posts()) : the_post(); ?> : 如果存在Post/Page则予以显示
7. <?php endwhile; ?> : While 结束
8. <?php endif; ?> : If 结束
9. <?php the_time('字符串') ?> : 显示时间，时间格式由“字符串”参数决定，具体参考PHP手册
10. <?php comments_popup_link(); ?> : 正文中的留言链接。如果使用 comments_popup_script() ，则留言会在新窗口中打开，反之，则在当前窗口打开
11. <?php the_title(); ?> : 内容页(Post/Page)标题
12. <?php the_permalink() ?> : 内容页(Post/Page) Url
13. <?php the_category(',') ?> : 特定内容页(Post/Page)所属Category
14. <?php the_author(); ?> : 作者
15. <?php the_ID(); ?> : 特定内容页(Post/Page) ID
16. <?php edit_post_link(); ?> : 如果用户已登录并具有权限，显示编辑链接
17. <?php get_links_list(); ?> : 显示Blogroll中的链接
18. <?php comments_template(); ?> : 调用留言/回复模板
19. <?php wp_list_pages(); ?> : 显示Page列表
20. <?php wp_list_categories(); ?> : 显示Categories列表
21. <?php next_post_link('%link'); ?> : 下一篇文章链接
22. <?php previous_post_link('%link'); ?> : 上一篇文章链接
23. <?php get_calendar(); ?> : 日历
24. <?php wp_get_archives() ?> : 显示内容存档
25. <?php posts_nav_link(); ?> : 导航，显示上一篇/下一篇文章链接
26. <?php include(TEMPLATEPATH . '/文件名'); ?> : 嵌入其他文件，可为定制的模板或其他类型文件

（五）与模板相关的其他函数

1. <?php the_search_query(); ?> 搜索表单的值
2. <?php _e('Message'); ?> : 输出相应信息
3. <?php wp_register(); ?> : 显示注册链接
4. <?php wp_loginout(); ?> : 显示登录/注销链接
5. <?php wp_meta(); ?> 显示管理员的相关控制信息(为插件API HOOK用)
6. <!–next page–> : 将当前内容分页
7. <!–more–> : 将当前内容截断，以不在主页/目录页显示全部内容
8. <?php timer_stop(1); ?> : 网页加载时间(秒)
9. <?php echo get_num_queries(); ?> : 网页加载查询量

显示最新文章

<?php query_posts(’showposts=5′); ?>
<ul>
<?php while (have_posts()) : the_post(); ?>
<li><a href=”<?php the_permalink() ?>”><?php the_title(); ?></a></li>
<?php endwhile;?>
</ul>

显示最新评论

<?php global $wpdb; $sql = “SELECT DISTINCT ID, post_title, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type,comment_author_url, SUBSTRING(comment_content,1,30) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID = $wpdb->posts.ID) WHERE comment_approved = ‘1′ AND comment_type = ” AND post_password = ” ORDER BY comment_date_gmt DESC LIMIT 10″; $comments = $wpdb->get_results($sql); $output = $pre_HTML; $output .= “\n<ul>”; foreach ($comments as $comment) { $output .= “\n<li>”.strip_tags($comment->comment_author) .”:” . “<a href=\”" . get_permalink($comment->ID) . “#comment-” . $comment->comment_ID . “\” title=\”on ” . $comment->post_title . “\”>” . strip_tags($comment->com_excerpt) .”</a></li>”; } $output .= “\n</ul>”; $output .= $post_HTML; echo $output;?>

显示热评文章

<?php $result = $wpdb->get_results(”SELECT comment_count,ID,post_title FROM $wpdb->posts ORDER BY comment_count DESC LIMIT 0 , 10″); foreach ($result as $topten) { $postid = $topten->ID; $title = $topten->post_title; $commentcount = $topten->comment_count; if ($commentcount != 0) { ?>
<li><a href=”<?php echo get_permalink($postid); ?>” title=”<?php echo $title ?>”><?php echo $title ?></a></li>
<?php } } ?>

显示文章分类

<h2>Categories</h2>
<ul><?php wp_list_cats(’sort_column=name’); ?></ul>

显示归档

<h2>Archives</h2>
<ul><?php wp_get_archives(’type=monthly’); ?></ul>

在侧栏显示页面列表

<h2>Pages</h2>
<ul><?php wp_list_pages(’title_li=’); ?></ul>

调用Gravatar(只适应2.5以上)

<?php if(function_exists(’get_avatar’)){ echo get_avatar($comment, ‘50?);} ?>

显示友情链接

<ul><?php get_links_list(); ?></ul>

显示管理员链接

<ul><?php wp_register(); ?>
<li><?php wp_loginout(); ?></li>
<li><a href=”http://www.wordpress.org/”>WordPress</a></li>
<?php wp_meta(); ?>
<li><a href=”http://validator.w3.org/check?uri=referer”>XHTML</a></li>
</ul>

在侧栏显示页面的子页面

<?php$children = wp_list_pages(’title_li=&child_of=’.$post->ID.’&echo=0′);if ($children) { ?>
<ul><?php echo $children; ?></ul>
<?php } ?>

显示Wordpress标签

<?php the_tags(); ?>

显示Wordpress标签云

<?php wp_tag_cloud(’smallest=8&largest=36&’); ?>

模板标题

<?php /* Template Name: Portfolio */ ?>

动态标题标签

<title><?phpif (is_home()) { echo bloginfo(’name’); } elseif (is_404()) { echo ‘404 Not Found’; } elseif (is_category()) { echo ‘Category:’; wp_title(”); } elseif (is_search()) { echo ‘Search Results’; } elseif ( is_day() || is_month() || is_year() ) { echo ‘Archives:’; wp_title(”); } else { echo wp_title(”); } ?></title>

在独立页面中运行PHP

<?php if ( is_home() ) { include (’file.php’); } ?>

您可以自行修改，不过要注意这个文件的格式是UNIX的，记事本编辑不了。

	function backup_fragment($table, $segment, $filename) {
		global $table_prefix, $wpdb;
		header( 'Content-Type: text/html; charset=utf-8' );
		echo "$table:$segment:$filename";

打开 WordPress 根目录下的 wp-config.php 文件，添加如下行即可：

define('WP_POST_REVISIONS', false);

WordPress 文章的修订记录，都被写入了数据库，既然我们不使用他们，那么，清除他们吧！通过以下 SQL 语句可以删除：

DELETE FROM wp_postmeta WHERE post_id IN (SELECT id FROM wp_posts WHERE post_type = 'revision');
DELETE FROM wp_term_relationships WHERE object_id IN (SELECT id FROM wp_posts WHERE post_type='revision');
DELETE FROM wp_posts WHERE post_type='revision';

经过上面这两步，WordPress 文章修订历史功能就不会再来打扰你了。这个教程有用吧？欢迎留言哦。

http://wordpresschina.googlecode.com/files/wordpress.26.beta1.chs.zip
http://wordpresschina.googlecode.com/files/wordpress.26.beta1.chs.tar.gz

当然，你也可以通过点击我们网站的下载链接，然后前往 WordPress 中文版仓库进行下载。

目前，WordPress 团队并没有公布 2.6 版本的特性。但是，从国外的一些博客中，我们可以大概了解到，在 WordPress 在2.6 版本中主要增加和修正了以下部分功能：

当然，从严格的道德与法律角度讲，对方网站就算不盗链，就算将文件拷贝到其自己的服务器使用，也应首先征得您的许可。不过，在Internet世界里破坏规则往往是不必付出代价的，这也使得许多人习惯了在网站建设中使用别人的内容与资源，源网站自身对此是无能为力的。这方面中文网站更是位于“世界领先”的地位，在中华传统“文化”的熏陶与教育大跃进的共同作用下，与鬼子们对抄袭、盗链大都还遮遮掩掩相比，中文网站往往非但不以为忤反而理直气壮，“窃书不算偷”甚至“窃你的书是看得起你”之类的说辞甚至成为主流。去年笔者就曾遇到过一位“极品男”，因我的某个网站图片被盗链严重，服务器带宽被大量占用，而不得不采用最原始的防盗链手段——那个网站因使用IIS，而且未安装Mod_rewite功能扩展模块——即改变图片文件存储目录与文件名的方式，结果却收到某个盗链网站的抗议，义正辞严地指责我那么做是如何如何地不道德，给他带来了多大的麻烦：他不得不逐个修改每个网页以让图片能够正确显示，并谆谆教导我保持图片url恒定不变才显得更为专业等，让人啼笑皆非。

虽然这类人中龙风不太常见，但是，对于原创网站而言，在网站建设的最初阶段便“断绝”与其往来，一开始便禁止其盗链也许是更佳的选择，当然，也可以为极品男省去很多麻烦。

防止文件盗链目标与要求

下面首先将我们欲实现的目标介绍一下：

• 统一在网站根目录下的 .htaccess 设置：虽然理论上而言，在Apache中，可以针对每个目录分别设置 .htaccess ，通过权限的继承与覆盖可以实现相当复杂的功能。不过，过多的 .htaccess 往往会增加管理的难度，有时候百密难免有一疏，修改 .htaccess 稍有遗漏便可能造成网站出现问题。
• 默认情况下禁止其他网站盗链：对图片文件而言，当其他网站使用 <img src=’http://yoursite.com/someimg’> 盗链时自动重定向至类似右图所示的图片，声明版权及宣传您的网站。当然，从降低对服务器带宽占用的角度考虑，这个图片文件不能过大，您也可以简单地拒绝其访问，让其网页上图片位置以红“x”号代替。
• 允许特定访问来源：单纯针对图片文件来说，事实上也不可能禁止所有除您自身网站之外的其他访问，比如说Google，如果您希望通过Google图片搜索获得一定访问的话，必须让其能够正确读取真正的图片文件，再如应能够让RSS订阅用户看到feed中的图片，这就要求允许来自bloglines等的访问。
• 允许特定目录下的文件被外部网站使用：完全禁止外部网站有时会带来不便，很多时候，我们自己也可能需要在外部网站使用部分文件。当然，放入这些目录的文件要有一定限制，不然，便失去设置防盗链的意义了。

设置 .htaccess 禁止图片盗链

下面即为博客学堂禁止图片盗链的 .htaccess 设置部分：

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/(allow1|allow2)
RewriteRule ^.*$ - [L]

首先，设置允许可“盗链”即外部网站可以使用的文件所处目录，上面我们设置了两个目录，分别为allow1与allow2，当然，如果您只有一个目录的话，可以将其改为：

RewriteCond %{REQUEST_URI} ^/allow1

接下来判断是否为图片文件：

RewriteCond %{REQUEST_FILENAME} \.(gif|jpeg|png)$ [NC]

您也可以根据自己的需要设置更多的文件类型。

RewriteCond %{HTTP_REFERER} !^$

上面这一行意在允许空“HTTP_REFERER”的访问，即允许用户在浏览器地址栏中直接输入图片地址时图片文件的显示。一般而言，这是可选的，不过，建议这么设置，如果强迫必须具有“HTTP_REFERER”才能访问，可能会带来某些问题，比如说在用户通过代理服务器访问时。

RewriteCond %{HTTP_REFERER} !blogsdiy\.org [NC]
RewriteCond %{HTTP_REFERER} !google\.com [NC]
RewriteCond %{HTTP_REFERER} !baidu\.com [NC]
RewriteCond %{HTTP_REFERER} !bloglines\.com [NC]
RewriteCond %{HTTP_REFERER} !feedburner\.com [NC]

设置允许访问的HTTP来源，包括博客学堂自身、Google、Baidu、Bloglines、Feedburner等。

RewriteRule (.*) /allow1/leech.gif [R,NC,L]

将不满足上述条件的访问重定向至leech.gif。您可能已经注意到，leech.gif位于允许“盗链”的目录allow1下，这一点很重要，不然，您的警告信息图片将无法在对方网站上显示。

如此，即实现了我们预先设定的防止图片盗链目标。

其他类型文件的防盗链设定

如果您的网站上存在其他类似体积较大较耗费带宽的文件如flash、mp3被其他网站盗链，可以同样采取上述策略，比如说，对Flash文件，可用类似如下的设置：

RewriteCond %{REQUEST_URI} ^/allow1
RewriteRule ^.*$ - [L]RewriteBase /
RewriteCond %{REQUEST_FILENAME} \.swf$ [NC]
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !blogsdiy\.org [NC]
(……其他允许访问来源)
RewriteRule (.*) /allow1/leech.swf [R,NC,L]

当然，需要事先创建一个声明版权信息的flash文件“leech.swf”。其他诸如防止mp3文件、压缩文件(zip或rar)盗链的设置与此类似，不再赘述。

参考文献：使用.htaccess防止图片盗链