WordPress的默认设置是允许任何人发表评论，只要他们留下姓名和电子邮件。电子邮件未经验证，因此您可以使用其他人的电子邮件和gravatar，并将发表评论。

最佳做法是验证发表评论的用户的电子邮件地址。在WordPress的核心功能中，这需要用户注册一个帐户才能发表评论。

绝对不是，这就是为什么只允许注册用户留下评论，或者您可以使用wp_set_comment_status() 和wp_mail(), 仅在通过电子邮件验证后显示评论。

Update:

在这种情况下，我已禁用“中的两个选项”Before a comment appears“设置，在大多数情况下可能是必需的。

在这种情况下，当未经身份验证或未登录的评论员使用名称和电子邮件字段留下评论时，评论员可以使用任何电子邮件，因为在我们手动执行或使用任何第三方解决方案之前，没有其他可供使用的验证。

评论员可以使用任何流行博主/个人的姓名和电子邮件，如果同一封电子邮件在gravatar注册，那么它将获取gravatar个人资料图像，这可能误导其他用户，任何人都可以窃取任何人的gravatar身份。

没有任何检查的原生WordPress评论系统很可能是个坏主意。然而，该系统确实能够要求用户先注册一个帐户，然后才能发表评论。这与Akismet插件和WordFence（或其他安全插件）的注册版本相结合，将使公共垃圾邮件降至最低。