WordPress 又出上古Bug？你的 Feed 订阅源里面居然藏着一个博彩网站？！

早上习惯性刷 RSS 订阅，看到了宗宗酱发的一篇提醒：你的RSS订阅源有跳菠菜的风险

心里一惊，赶紧翻开自己博客的 Feed 页面扫了一眼。果不其然，根标签里赫然躺着这一行：

1. 祸起 wellformedweb.org：黑产是如何盯上 WordPress Feed 的

因为是个历史包袱，我就不细说了，你只要知道这个东西是上古时期用来“让读者在RSS阅读器里，能给博客发表评论”用的就行了，这是 RSS 规范的一部分，但这玩意对垃圾评论的防御力几乎是零，所以在十多年前就已经被时代无情淘汰，但没办法啊，为了绝对的向后兼容， WordPress 依然将这行代码原封不动地保留至今。。

最近 wellformedweb.org 域名过期了，就被黑产团伙抢注了。虽然 WordPress 只是把它写在“XML 命名空间”里，WordPress 本身在生成 Feed 时，绝对不会去这个网址下载任何代码。正常 RSS 阅读器也不会去访问这个网址，除非有人直接看你的 Feed 源码，然后手动去点这个网址（能不能点开都两说，毕竟正常情况下此处并不会被渲染为超链接）。

但是云服务商、网管部门、第三方安全插件会无差别提取页面内的所有 URL 链接（哪怕它只是个 xmlns 命名空间里的字符串），这一扫，就发现这个 URL 指向了一个博彩网站，搞不好就直接判定你的网站“包含低俗、赌博等违规内容”，进而触发自动化报警，轻则发邮件警告让你限期整改，重则直接判定违规封禁主域名或IP。

以及不排除未来这个 URL 会进入全球恶意欺诈黑名单，这会导致有些阅读器或者开启了严格安全保护的浏览器，因为探测到你的订阅源含有这个URL，直接给访客弹个“该网站包含危险欺诈内容”的红色标签页警告，这不是纯纯的无妄之灾嘛，所以这行代码最好还是尽早删掉。

2. 拒绝粗暴改核心：寻找更优雅的动态方案

看了看网上给出的普遍解法，都是让人“直接去修改 wp-includes/Feed-rss2.php 文件，删掉这一行”。

这就有点不够优雅了，动系统文件向来是慎之又慎的事情。一个不小心直接改炸了不说，而且一旦 WordPress 升级，修改搞不好就被直接覆盖了，属于治标不治本。

那既然不打算动核心文件，那就只能考虑动态移除。最显而易见的修改方案有两个：

1. Nginx 前端替换：性能最高。但我目前的架构前端套了香港反代，为了保险起见，要改就得两头一起改，折腾起来有点费事。
2. PHP 动态修改：考虑到 Feed 页面本身是有缓存的，我不更新文章，Feed 缓存基本就不会动。所以 PHP 带来的那点性能损耗几乎可以忽略不计，折腾起来最省心。

所以我决定用 PHP 搞定问题。跑去问了下 AI 这个标签的钩子是啥。结果 AI 一摊手：硬编码，没钩子。

啊，这……行吧，既然你不给钩子，那就别怪我直接对输出缓冲区下手了。

3. 最终修复方案：用 PHP 代码动态净化 WordPress Feed 订阅源

在 Code Snippets 插件中新建一个代码段（选择在所有位置运行），或者写到你当前主题的 functions.php 文件中也行。利用 PHP 的 ob_start 在页面渲染完成、输出前的最后一刻，把这个 URL 给滤掉。

代码如下：

/**
 * 移除 WordPress RSS2 中已过期的 CommentAPI 链接
 */
add_action('template_redirect', 'perfect_clean_rss2_buffer', 0);
function perfect_clean_rss2_buffer() {
    // 仅对 RSS2 订阅源生效
    if (is_Feed('rss2')) {
        ob_start('rss2_namespace_cleaner');
    }
}

function rss2_namespace_cleaner($buffer) {
    // 匹配 CommentAPI 链接
    $search_pattern = '/xmlns:wfw="http:\/\/wellformedweb\.org\/CommentAPI\/?"\s*/i';
    return preg_replace($search_pattern, '', $buffer);
}

小提示：保存并启用代码后，如果刷新页面没变化，八成是有什么东西给你的Feed做了缓存，记得去后台刷新一下你的站点缓存

附：Nginx 的替换方案

如果你不想动 PHP，且你的 Nginx 编译了 sub_filter 模块，也可以直接在 Nginx 配置文件中加入以下规则动态替换：（让AI写的，我没实际测试过）

location ~* /Feed/?$ {
    sub_filter 'xmlns:wfw="http://wellformedweb.org/CommentAPI/"' '';
    sub_filter_once off;
    sub_filter_types application/rss+xml text/xml;
    try_files $uri $uri/ /index.php?$args;
}

写在最后

不得不感叹一句，最近黑产真的越来越钟情于这种“历史遗留域名过期被恶意抢注（内容劫持）”的连带攻击方式了。

他们利用了对老域名的盲目信任，不需要入侵你的服务器，就能白嫖全球无数独立博客的连带流量和权重，不可谓不鸡贼。在 WordPress 官方正式移除这行代码之前，建议各位站长，赶紧去排查并手动移除自己的 /feed 隐患