SO网友:J.D.
订阅者和贡献者之间有什么区别?
订阅者只有
read 能力,而贡献者还具有
edit_posts 和
delete_posts 能力。这意味着投稿人可以编辑和删除自己的帖子(但不能删除其他帖子)。您应该知道,插件和主题也可以为角色分配额外的功能;这些只是参与者角色默认拥有的角色。
那么,允许任何人成为贡献者会导致安全问题吗?
不,它不会立即使您的站点易受攻击。它只允许用户创建和删除帖子,WordPress不允许用户发布不安全的内容(防止XSS)。
然而,它确实增加了潜在攻击者可用的攻击面<如果帖子相关功能中存在任何漏洞,现在任何人都可以利用它们。
根据我自己研究WordPress插件中的安全漏洞的经验,我可以说,经常有一些漏洞是订阅者级别的用户无法利用的,但更高级别的用户可以利用这些漏洞。有时,用户必须是作者、编辑,甚至是管理员——仅仅是贡献者可能还不够。
也就是说,有足够多的漏洞可以被利用,甚至不必成为订阅者,我认为这一点没有意义。大多数攻击者不会费心创建帐户以便执行攻击。避免被黑客攻击的最好方法是掌握所使用插件和主题的安全性。
此外allowing users to create new posts on the front end while only having the Subscriber role doesn\'t actually provide much protection. 你基本上是把一个订阅者变成了一个贡献者。他们从哪里提交帖子对于大多数与此处相关的漏洞利用并不重要。
因此,最终,将用户作为订阅者可能只会给你一种错误的安全感。只要您不安装为贡献者级别的用户提供超级能力的插件,那么将“贡献者”作为默认角色应该不会更糟。
