ここ最近は、wp-comments-post.php は変更されてないようなので、改造版がそのまま使えています。

　とはいえ、突然修正されたりしたらやっぱり困りますね（笑）。

　こっちについては、「次善策」のほうを模索した方がいいような気がしてきました。

日本語の場合 UTF-8 だと 32バイト == 10文字ですから

　おろ？　strlen()って文字数ではなくバイト数を数えるのでしたっけ？
　…と思ったら、マルチバイト対応のmb_strlen()がちゃんとあったのでした（間抜け！）。

　じゃあ俺はmb_strlen()を使うと言うことで（ぉぃ）。
　でもいつ導入すべきか。とりあえず今晩はもう寝ます。

WP-Hardened-Trackback は以前実装を確認したのですが、あまり参考になりませんでした。

　トラック・バックについては、既存のプラグインで最大限の努力をする以外になさそうですね。
　あとは手動でIPアドレスによるアクセス制限をかけるとか…う～んエレガントじゃない！

う～ん。WPコアの改造はちょっと怖いですし、ヴァージョン・アップのたびに同じ作業をするのがかったるいです。

ここ最近は、wp-comments-post.php は変更されてないようなので、改造版がそのまま使えています。ウチは「メールアドレス or ウェブサイト URL のどちらか入力されれば OK」というルールにしているので、それを実現するには wp-comments-post.php をいじるのが必須になっています。プラグインで変更できたらいいのですが、そうなってないのは困ります。

日本語の場合 UTF-8 だと 32バイト == 10文字ですから、まあ大丈夫でしょう。64バイトにしてしまうと、21 文字でも落としてしまうので心配かもしれません。

WP-Hardened-Trackback は以前実装を確認したのですが、あまり参考になりませんでした。今回改めて見てみましたが、wp-content/plugins/tbkeys/ に認証キーを入れるという凶悪実装のままで、これは使いものになりません (セキュリティー的にもやばそう)。

wp-comments-post.php の改造

　う～ん。WPコアの改造はちょっと怖いですし、ヴァージョン・アップのたびに同じ作業をするのがかったるいです。

　とはいえ、それが直接攻撃に対するおそらくもっとも効果的であろう対策だと言うこともまたうなずけます。

　次善策として、以前ここでも導入していた足し算プラグイン「Math Comment Spam Protection Plugin」があるのですが、エラーが発生したときの動作の関係で、特に携帯電話経由のアクセスでちょっと困ったことになってしまい、最終的に使用を中止せざるを得なくなりました。

　似たようなコンセプトのプラグイン、自作する必要がありますかねぇ。てゆうか作る時間ください（ぉぃ）。

トラックバックの方は、短い内容のトラックバックを弾くがかなり有効です

　これだと、日本語の入った文字もはじいてしまいますよね。
　あまりないケースですが、真っ当な記事で、写真が主で記事本文が無茶苦茶短いというケースもなくはありませんので、効果覿面とわかっていても即導入というわけにはゆきません。
　改造して英数字のみで64文字以下の場合は即却下とか出来るようにしてみようかな（ぉぃ）。

トラックバック URL をランダムにするのは、今後研究してみますが、wp-trackback.php にはフックがまるでないので、ちょっと困難そうです。

　だいぶ前に一時期使っていたことのある「WP-Hardened-Trackback update 」はURLを変更しているにはしているのですが、JavaScriptの使用が前提になっているという点がマイナスですね。
　もしかしたらご参考になるかもしれませんが…。

「トラックバックURLをランダムにする」というのは、以前の Yuriko.Net で行なっていた対策ですが、いかんせん自作ウェブログシステムなので、「マイナーシステムだから狙われてない」のか「ランダムURLが有効であった」のか判断がつきません……。トラックバック URL をランダムにするのは、今後研究してみますが、wp-trackback.php にはフックがまるでないので、ちょっと困難そうです。