您应该使用nonce 保护自己免受CSRF attacks.

尽管您没有向数据库发送任何内容，但我建议使用一些内置的data validation 功能（甚至有is_email 供您使用的函数！）从电子邮件中删除任何HTML。esc_html( striptags( $your_email_content ) ), 例如。

您还可以限制来自单个IP的联系人表单提交，以防止某人多次提交相同的内容。我不知道有哪种联系人表单插件可以做到这一点，但是如果你在一定时间内提交了太多的评论，WordPress评论系统会显示一个错误页面。