虽然说前面通过前面通过采用《屏蔽wordpress垃圾评论的方法（插件和非插件）》的方法来拦截那些spam，效果非常不错。但是博主对这些垃圾评论不会直接删除，而是先经过非插件方法：Anti-Spam程序的处理，自动把他们列入黑名单，然后在wp后台手动删除。每天都要删半箩筐的垃圾评论，蛋疼不已。

于是博主做了一个艰难的决定，那就是填写验证码后才能发表评论，幸苦发表评论的筒子们了。之前写过一篇关于PHP验证码的文章——《PHP中验证码的设计》，主要是JS弹窗进行验证。这样的好处是整个过程在客户端进行，不用提交到服务器，减轻了服务器的负担；缺点是安全性不佳，要是用户禁用了浏览器的javascript，那么弹窗是不起作用的。那么除了图片验证码之外，我们也可以使用简单的数字验证码，即简单的算术运算来完成验证工作。

效果如下图示:

不罗嗦了，直接贴出代码：

（一）在主题目录的functions.php添加如下代码：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

//算术验证码by vfhky
function spam_provent_math(){
  $a=rand(5,15);
  $b=rand(5,15);
  echo "<input type='text' name='sum' id='sum'  size='22' tabindex='3' value='动手又动脑，哦也 ！' onfocus='if (this.value != \"\") {this.value = \"\";}' onblur='if (this.value == \"\") {this.value = \"动手又动脑，哦也 ！\";}' /> = $a + $b （<font color='#0088DD'>防止机器人评论</font>）" ."<input type='hidden' name='a' value='$a'/>" ."<input type='hidden' name='b' value='$b'/>";
}
function spam_provent_pre($spam_result){
  $sum=$_POST['sum'];
  switch($sum){
    case $_POST['a']+$_POST['b']:break;
    case null:wp_die('亲，算个结果撒');break;
    default:wp_die('算错啦⊙﹏⊙b汗');
  }
  return $spam_result;
}
//注册用户or管理员则不需要验证
if(!is_user_logged_in() && $comment_data['comment_type']==''){
  add_filter('preprocess_comment','spam_provent_pre');
}

（二）在主题目录下的comments.php(不同的主题可能评论框的位置不同，有的主题可能在functions.php里面)中调用上述代码：

//根据是否是管理员来决定是否显示验证码
<php if(!is_user_logged_in())spam_provent_math();?>

Update 2013.03.09 00:26

感谢 @Teddysun 指出本代码的BUG——普通评论者在初次留言后，如果继续留言的话就需要点击“更改”按钮，否则直接留言的话会被程序视为未登录者而调用spam_provent_math()函数，从而造成BUG。问题出在is_user_logged_in()函数身上，先给出解决方案：

在wp官方论坛也有人遇到了类似问题：is_user_logged_in not working as expected。其中，有两位大牛的回答我觉得还是有见地的。

Asbj?rn Ulsberg的解释是：

他在查看了is_user_logged_in()的底层函数之后发觉内部调用wp_parse_auth_cookie()会返回false。因为根据var_dump($_COOKIE)打印输出的变量$_COOKIE的值可以揭示wp_parse_auth_cookie()正在查找的cookies是完全不存在的。

I've dug into the underlying code of is_user_logged_in() and found that the inner call to wp_parse_auth_cookie() returns false. A var_dump($_COOKIE) reveals that there's actually no cookies named anything like what wp_parse_auth_cookie() is looking for.

rhysgoodwin的个人博客解释是：

wp_signon()函数可能出于某些原因使得$current_user之类的全局变量在页面刷新前是无法存储的,而且调用get_currentuserinfo()也无法产生。而is_user_logged_in()也是返回false，因此认为是cookie的认证过程出了什么问题引起的。

The wp_signon() function logs a user in but for some reason after doing so the global user variables such as $current_user and $user_ID are not populated until the page is refreshed and calling get_currentuserinfo() doesn’t populate them. The is_user_logged_in() function also returns false.  I think the problem has something to do with the cookie authentication process.

（三）我们也不去深入考究上面两位大牛的具体，结合博客先前评论遇到的实际BUG，有一点是可以确定的：is_user_logged_in()只能“一次性”使用，一旦页面刷新就无法起作用了。所以我把步骤(二)中的调用代码改成

<?php if(!isset($_COOKIE['comment_author_email_'.COOKIEHASH]))spam_provent_math();?>

经博主的验证测试木有出现上面的BUG了，问题解决！！！

Update 2013.04.12 22:10

感谢 @来哥 指出本代码的BUG——用户在错误输入验证码结果后会导致博客布局错乱、页面变形。解决方案见《再谈wordpress评论验证码——Willin Kan大神开的一个“玩笑”》。