拒绝祖传垃圾代码！适配前端静态缓存的 WordPress 防垃圾评论纯代码方案（附源码）

前言

没想到，我最终还是被非中文垃圾评论逼疯了，我的小破站也有被垃圾评论淹没的一天。
最近（这半年）国外的 SPAM Bot 像是冲业绩一样，对着我的评论区狂轰滥炸。
给你们看一眼后台 Akismet 的统计数据：

虽然上个月 Akismet 默默帮我吃掉了 1700 多条纯英文的博彩和 SEO 垃圾评论，并且正确率高达 99.9%，在近 7000 条评论中，漏网的 SPAM 评论数量为 0，假阳性（将正常评论误判为 SPAM）的数量也只有 5 条，可以说 Akismet 工作得非常好。

但问题是，这些被拦截的非中文垃圾评论，会全堆在后台的“垃圾”列表里。之前这个数字涨得还比较慢，我基本每周点一次「清空」，最近这个数字涨得实在太快了，简直是在疯狂折磨我的强迫症！搞得我现在只要进后台就要手动点“清空垃圾”。

上个月一直在折腾前端机反代的事情（详见《忍痛割爱“负优化”腾讯云！年付不到200元，我换到了这台“真香”的香港前端机》）。最近基础的缓存问题、前端轻量化 WAF 都搞得差不多了，我决定从源头上给这帮瞎撞的机器人一点颜色看看。

踩坑第一步：中文互联网上的祖传 WordPress 禁止非中文评论代码

解决思路很清楚：通过后端的 PHP 或前端的 JS，检查提交的评论内容，禁止中文数量太少的评论和直接 POST 到接口的评论。我印象中不止一位博主写过类似的文章，可惜我在 RSS 阅读器里搜了几下，什么都没找到。

遇到问题先“面向 Google 编程”，没必要重复造轮子嘛，搜“WordPress 禁止非中文评论”，不出意外地，满屏的 CV 工程师都在发同一段祖传代码（以及它的徒子徒孙们），各种代码之间的不同之处，无非是写了更多的正则去匹配日语、韩语等语言，改了点报错文本的措辞罢了，它们的核心都是下边这个代码：

// 屏蔽非中文评论 (注意，这个代码超垃圾，千万别用！)
function refused_spam_comments( $comment_data ){
    $pattern = '/[一-龥]/u';
    if(!preg_match($pattern,$comment_data['comment_content'])){
        err( "我擦，你竟然是歪果仁！看不懂你的评论..." );
    }
    return( $comment_data );
}
add_filter('preprocess_comment','refused_spam_comments');

我差点没一口老血喷出来，这都啥祖传垃圾代码啊，槽点密集到无可复加，大家且听我逐一吐槽：

1. 化石级的正则写法： 首先这个正则 /[一-龥]/u，先不说这个正则区间里混进了多少不是中文的奇怪东西。就这写法，纯纯是化石级的写法，我印象里只有 2000 年之前就接触编程的老古董会这样写，因为当年的很多教材就这样写的，他们习惯了。这段核心代码出现的年代绝对不可能早于 2010 年。在 2026 年的当下，匹配中文就算不用 /\p{Unified_Ideograph}/u（匹配中文）或 /\p{Script=Han}/u（匹配中文和中文标点），也要写成 /[\u4e00-\u9fa5]/u 吧（兼容 IE11 等老浏览器）。我寻思，JavaScript 从最初版本 (1997年)就开始支持 \uXXXX了吧？。
2. 令人窒息的报错文案： 这个错误信息写的是个什么鬼玩意 err( "我擦，你竟然是歪果仁！可惜博主的英文太烂，看不懂你的评论，学会汉字再来评论吧..." ); 这个语气，就让我仿佛回到了高中时代的 QQ 空间。
3. 不存在的函数： 最成问题的地方是：这个 err() 函数是哪里冒出来的啊？WordPress 里根本没有这个函数吧！经过我一番 AI 检索，哦，这是当年某个流行主题的自定义函数，主题没有WordPress的原生评论系统，而是用自己写了一个 comments-ajax.php 作为评论系统，使用err() 实现前端报错。因此这个最后的钩子 add_filter('preprocess_comment','refused_spam_comments'); 存在同样的问题，因为代码中没有使用 WordPress 原生的 wp_die() 函数来终止程序，而且咱们也不用那个主题，自然也就没有 err() 函数，部署上去妥妥会炸。
4. 防不住的逻辑： 这个过滤思路也是有问题的，因为它的规则是只要评论内容里包含至少一个汉字，就算通过。现代的垃圾评论群发脚本（Spam Bot）早就进化了，这样过滤是防不住的。

踩坑第二步：被自家前端缓存“物理降维打击”

既然“面向 Google 编程”不成功，那就自己造轮子呗。不过这时候我灵光一闪，其实我的需求并不是完全靠自己解决垃圾评论的过滤问题，而是尽量在评论到达 Akismet 之前，就检测出对方是不是机器人。

所以我决定简单点，一贯不想增加插件负担的我，在后端用 PHP 给评论表单偷偷塞一个隐藏的当前时间戳。访客提交时一减，如果发现他从打开页面到点提交用时小于 6 秒，绝对是机器，当场弄死。

// 基于 PHP 的时间检测代码片段
// 1. 在前端评论表单注入一个“隐形时间戳”
function tjsky_add_comment_time_trap() {
    echo '<input type="hidden" name="comment_render_time" value="' . time() . '">';
}
// 2. 检测对比打开页面后和提交时的时间戳
if (isset($_POST['comment_render_time'])) {
    $render_time = (int)$_POST['comment_render_time'];
    $time_spent = time() - $render_time;
    // 3. 如果从打开页面到点提交不到 6 秒，绝对是机器，弄死。
    if ($time_spent < 6) {
        tjsky_reject_comment();
    }
} else {
    // 4. 如果连隐藏的时间戳都没有，说明是直接往接口 POST 数据的，更要弄死。
    tjsky_reject_comment();
}

兴冲冲部署上去了，过了一天我发现：怎么没效果啊？思考良久后我一拍大腿反应过来了。我他喵的现在是香港前端机 Nginx 反代并缓存加速 + 后端机的技术路线了，不是原来的前端机端口透传方案。

也就是说，访客看到的页面，早就被 Nginx 缓存在香港节点了！PHP 输出的那个隐藏时间戳，会永远停留在缓存生成的那一秒。一个爬虫过来抓取页面并 POST，后端一算：当前时间减去缓存的时间戳，好家伙，早超过 6 秒了，直接判定为“人类”，完美绕过陷阱！

结论：后端 PHP 动态时间戳在静态缓存架构下完全失效。（折腾半天，小丑竟是我自己）

踩坑第三步：现在的垃圾评论脚本竟然有 JS 运行环境了？

既然 PHP 生成时间戳行不通，那就只能让访客的浏览器端动态生成了。往前端塞了一小段 JavaScript 脚本，在页面加载完后，用 JS 把时间戳令牌塞进表单。因为很多针对 WordPress 的低级垃圾评论机器人只抓 HTML 分析，并不执行 JS，这一招应该可以完美解决缓存问题了吧。

新版代码特性：

1. 改用 JavaScript 生成检测时间戳，并提交后端页面打开时刻和提交评论时刻的时间差值，小于 6 秒的直接干掉。
2. 这里采用记录执行函数来记录脚本解析时刻的 loadTime，而不是等待页面加载完成触发 DOMContentLoaded 再记录时间。这是为了以防网络不好时，页面加载完成和提交评论的时间间隔过短（虽然理论上不至于……但以防万一嘛）。
3. 令牌完全由 JS 动态生成，不依赖页面缓存，后端执行的判断轻量简单。

// 基于 JavaScript 的时间检测代码片段
(function() {
    // 记录脚本解析时刻的时间戳
    var loadTime = Math.floor(Date.now() / 1000);
    document.addEventListener('DOMContentLoaded', function() {
        // 往评论表单里写入隐形的时间戳
        var forms = document.querySelectorAll('form[action*="wp-comments-post.php"], #commentform, #comment-form');
        forms.forEach(function(form) {
            if (!form.querySelector('input[name="js_spamtrap_token"]')) {
                var jsToken = document.createElement('input');
                jsToken.type = 'hidden';
                jsToken.name = 'js_spamtrap_token';
                jsToken.value = 'is_human_0'; 
                form.appendChild(jsToken);

                // 在评论提交的瞬间，计算时间差
                form.addEventListener('submit', function() {
                    var submitTime = Math.floor(Date.now() / 1000);
                    var timeDiff = submitTime - loadTime;
                    jsToken.value = 'is_human_' + timeDiff;
                });
            }
        });
    });
})();

结果：部署上去后测试了 1 天，垃圾评论数量大量减少，大概只有原来 20% 的垃圾评论到达了 Akismet，主要是几个做垃圾 SEO 的评论。不过它们居然绕过了 JS 时间差检测，这倒是有点出乎我的意料。从后台记录的时间差看，它们基本是在打开页面 1~2 分钟后提交的评论。现在的垃圾评论有点先进哦，居然有 JS 运行环境，而且会模拟人类的阅读行为？

得，还是要回到检测非中文评论的路子上来。

踩坑第四步：技术博客的“高频误伤区”

首先，我不能设置“只要含有少量中文就放行”的规则，因为我见过会复制我文章标题来伪装的垃圾评论，所以我决定设置为“纯中文字符占比低于 20% 直接拦截”。

写完后，我让 AI 写了个测试脚本，从博客的数据库里拉了 100 条正常评论和 100 条垃圾评论，在真实环境下做测试，结果喜迎再次翻车。

“有效汉字比例小于 20%”的拦截规则，对于生活类博客确实好使，但别忘了这里是一个技术博客（虽然我最近没怎么写教程吧）。
一旦遇到某位老哥跟着我的教程部署/安装代码时报错了，他很有可能会在评论区糊上一大段全英文的报错日志或配置代码，末尾才带了一句：“大佬，报错了，运行后显示这个怎么办”等等很短的一句话。
按照我的规则很容易就直接弹个 403 把友军给厚葬了，这绝对是反人类的。

有人可能会说：那拦截的时候，你直接在报错页面提示他“您的评论中文字符比例过少，请去掉代码重新组织语言”不就行了嘛？

我跟你讲，你可千万别啊！永远不要在报错里给黑客当老师。如果你把具体的规则明明白白写在脸上，灰产作者虽然不会时时刻刻盯着报错看，但回头在脚本里加个正则，随机抓取正文里的中文字符来凑数的案例可是有过的。真正的防御必须是“外松内紧”，统一返回个“缺少有效上下文”的障眼法，让他自己猜去吧。

明确了痛点，我把最终的逻辑梳理成了下面这样：

🎯 最终防御逻辑流程图

1. 前端埋点： JS 记录页面打开时间 ➡️ 访客点击“提交” ➡️ JS 计算时间差并塞入表单隐藏字段。
2. 第一道防线（过滤低级爬虫）： 后端检测时间差。如果没有字段（未执行 JS）或用时 < 6 秒 ➡️ 直接拦截。
3. 技术博客绿色通道（豁免友军）： 评论包含 Markdown/HTML 代码块，且汉字数 ≥ 10 个 ➡️ 直接放行交由 Akismet 审查。
4. 第二道防线（过滤高级非中文 Spam）： 剔除代码块和 URL 链接后，计算剩余内容的汉字占比。如果纯汉字 < 2 个或占比 < 20% ➡️ 直接拦截。

省流太长不看版（终极方案）

如果你的 WordPress 博客充斥着大量非中文垃圾评论，并且有前端缓存、CDN、静态化之类的东西，可以试试下边这套经过无数次踩坑打磨出来的无插件防御 SPAM 代码，直接扔到你的 functions.php 里即可：

/**
 * 评论区终极防 SPAM 护盾 (适配 Nginx 反代缓存 + 技术博客代码块豁免)
 */

// ==========================================
// 1. 前端 JS 注入：动态计算停留时间，完美绕过页面缓存
// ==========================================
add_action('wp_footer', 'tjsky_add_js_time_trap');
function tjsky_add_js_time_trap() {
    if (is_singular() && comments_open()) {
        ?>
        <script type="text/javascript">
        (function() {
            // 核心魔法 1：只要浏览器解析到这段 JS，立刻记录初始时间（秒）。
            // 绝不放在 DOMContentLoaded 里，防止被页面上其他加载卡顿的资源阻塞！
            var loadTime = Math.floor(Date.now() / 1000);

            document.addEventListener('DOMContentLoaded', function() {
                // 暴力兼容各种主题的评论表单
                var forms = document.querySelectorAll('form[action*="wp-comments-post.php"], #commentform, #comment-form');
                forms.forEach(function(form) {
                    if (!form.querySelector('input[name="js_spamtrap_token"]')) {
                        var jsToken = document.createElement('input');
                        jsToken.type = 'hidden';
                        jsToken.name = 'js_spamtrap_token';
                        jsToken.value = 'is_human_0'; // 初始值
                        form.appendChild(jsToken);

                        // 核心魔法 2：在表单提交的瞬间，计算时间差并赋值
                        form.addEventListener('submit', function() {
                            var submitTime = Math.floor(Date.now() / 1000);
                            var timeDiff = submitTime - loadTime;
                            jsToken.value = 'is_human_' + timeDiff;
                        });
                    }
                });
            });
        })();
        </script>
        <?php
    }
}

// ==========================================
// 2. 核心拦截逻辑：在写入数据库前进行终极安检
// ==========================================
add_filter('preprocess_comment', 'tjsky_intercept_spam_comments');
function tjsky_intercept_spam_comments($commentdata) {
    // 站长自己和 Pingback 机器通知，直接放行
    if (is_user_logged_in() || (isset($commentdata['comment_type']) && in_array($commentdata['comment_type'], array('pingback', 'trackback')))) {
        return $commentdata;
    }

    // --- 校验 1：前端 JS 时间陷阱检测 ---
    // 如果连标记都没有（直接 POST 的低级爬虫），直接处决
    if (!isset($_POST['js_spamtrap_token']) || strpos($_POST['js_spamtrap_token'], 'is_human_') !== 0) {
        tjsky_reject_comment(); 
    }

    // 提取时间差
    $time_spent = (int) str_replace('is_human_', '', $_POST['js_spamtrap_token']);

    // 如果打开页面不到 6 秒就点提交，绝对是机器，弄死
    if ($time_spent < 6) {
        tjsky_reject_comment();
    }

    $content = $commentdata['comment_content'];

    // 算一下原始文本的汉字数量
    preg_match_all('/[\x{4e00}-\x{9fa5}]/u', $content, $matches_original);
    $original_chinese_count = count($matches_original[0]);

    // 看看有没有贴代码的痕迹
    $has_code_block = preg_match('/(`|<pre>|<code>)/i', $content);

    // 【技术博客灵魂豁免通道】：带了代码块，且好好打字超过了 10 个汉字，直接放行交由 Akismet 审查！
    if ($has_code_block && $original_chinese_count >= 10) {
        return $commentdata;
    }

    // --- 校验 2：严格的汉字浓度清洗 ---
    // 剥离所有的 URL 链接 (防止垃圾链接凑数)
    $content_clean = preg_replace('/https?:\/\/[^\s]+/i', '', $content);
    // 剥离多行和单行 Markdown 代码块，以及 HTML 代码标签
    $content_clean = preg_replace('/```.*?```/is', '', $content_clean); 
    $content_clean = preg_replace('/`[^`]*`/i', '', $content_clean);       
    $content_clean = preg_replace('/<pre.*?>.*?<\/pre>/is', '', $content_clean); 
    $content_clean = preg_replace('/<code.*?>.*?<\/code>/is', '', $content_clean); 
    // 剥离空白字符
    $content_clean = preg_replace('/\s+/u', '', $content_clean);

    $total_len = mb_strlen($content_clean, 'UTF-8');

    // 剔除后成空壳了？说明全是链接和空格，处决
    if ($total_len === 0) {
        tjsky_reject_comment();
    }

    // 计算剔除代码后的真实汉字占比
    preg_match_all('/[\x{4e00}-\x{9fa5}]/u', $content_clean, $matches_clean);
    $clean_chinese_count = count($matches_clean[0]);
    $ratio = ($clean_chinese_count / $total_len) * 100;

    // 绝杀：日常交流文本中文字符少于 2 个，或者占比低于 20%
    if ($clean_chinese_count < 2 || $ratio < 20) {
         tjsky_reject_comment();
    }

    return $commentdata;
}

// ==========================================
// 3. 障眼法处决函数 (绝不暴露真实死因)
// ==========================================
function tjsky_reject_comment() {
    // 强行返回 403，反向污染爬虫的靶机库
    header('HTTP/1.1 403 Forbidden');
    header('Status: 403 Forbidden');

    $msg = '<div style="max-width: 600px; margin: 50px auto; padding: 20px; border-left: 4px solid #dc3545; background: #f8d7da; color: #721c24; font-family: sans-serif; border-radius: 4px; line-height: 1.6;">';
    $msg .= '<strong>⚠️ 提交失败 / Submission Failed:</strong><br><br>';
    // 这里使用含糊其辞的报错，防止被针对性突破
    $msg .= '系统检测到您的评论存在「格式异常」或「缺少有效上下文」的问题。请修改您的表单并重新组织语言后再试一次。<br>';
    $msg .= '<span style="font-size: 13px; color: #856404;">System flagged this comment as irregular or lacking meaningful context. Please rephrase.</span><br><br>';
    $msg .= '<a href="javascript:history.back()" style="color: #721c24; text-decoration: underline;">返回修改 / Go back and modify</a>';
    $msg .= '</div>';

    wp_die($msg, '拦截提示', array('response' => 403));
}

这年头WordPress被针对的太多了吧，防垃圾评论都能防出谍战片的感觉，不光得跟外面的爬虫斗智斗勇，还得防着自家的缓存背刺。有了这套 WordPress 禁止非中文垃圾评论代码，终于不用天天进后台清空垃圾了。代码已经丢上去跑了几天，那个烦人的未读红点也没再隔三差五地蹦出来。（严格说，这 3 天内防御率为 100%）