通常,WordPress为用户提供这5种访问类型→ Click Here.即
SubscriberContributorAuthorEditorAdministrator
我有一个主网站要启动here, 然后是博客here.主网站和博客是通过多站点安装的,这意味着它们共享同一个数据库。我想实现的是,用户只有在签名并登录后才能发表评论。如果我想让用户在提交评论之前登录,WordPress中的评论系统是如何工作的?
我担心的是,这不会造成安全漏洞吗?或者WP具有高级别的安全性,并提供一些受控的用户访问权限,并限制评论者访问其他站点区域?
请告诉我,如果这不是一个合适的职位,以便我可以删除它。请不要把我奉献给别人。
我在这上面多加了一些想法。
是否可以让评论员从订阅者/参与者的身份登录?如果是的话,考虑到主网站将有可销售的产品和财务数据以及属于敏感数据类别的客户的详细信息,是否会对其进行保护?
与此同时,我读了很多博客,意识到“贡献者”有三种访问权限→阅读、编辑和删除帖子。我只能访问他自己的帖子或其他作者的帖子?
我们是否可以在默认情况下将参与者的访问权转移到评论表单?WP注释挂钩允许吗?
Summary of My question: 我们应该为评论海报提供什么样的安全访问权限,这样他就不会有任何其他访问权限,如帖子创建、页面创建等,并且他应该能够编辑、删除和只创建他赢得的评论。
最合适的回答,由SO网友:Mark Kaplun 整理而成
从安全角度来看,最好不要让用户未经手动批准,因为编写针对特定权限进行测试的正确代码通常比二进制状态为登录/未登录的代码更难。
Core不时会出现权限升级错误,但插件和主题编写人员太多次没有完全掌握权限的概念,这会导致可能导致权限升级的编码错误。
这就是说,订阅角色应该是相当安全的,它仍然可以访问管理员,但我相信有插件可以阻止它,但除了更改他的个人资料相关设置之外,做不了什么。
总而言之,仅仅因为你想(我想)在你的博客中采取一些反垃圾邮件措施,就让用户访问商店网站不是一个好主意。要么让评论对所有人都“免费”,要么不要使用多站点,而是安装一个单独的wordpress。
