Muss ich Sicherheitsprobleme haben, wenn ich die Standardrolle zu Contributor ändere?

Ich baue eine Community-Site wie medium.com.

Anstatt Frontend-Formular zu erstellen, werde ich die Standardrolle als Contributor ändern oder zulassen, dass die Abonnentenrolle Posts / CPT einfügt ….

Ich muss das wissen, muss ich mich mit Sicherheitsproblemen auseinandersetzen?

Solutions Collecting From Web of "Muss ich Sicherheitsprobleme haben, wenn ich die Standardrolle zu Contributor ändere?"

Nein, das sollte generell gut sein. Sollte, je mehr Zugriff ein Benutzer hat, desto mehr Fehler kann er im Allgemeinen auslösen (oder ausnutzen), aber aus konzeptioneller Sicht sollte es in Ordnung sein.

Ich persönlich würde mich nicht sicher fühlen mit zufälligen Leuten, die Zugang zu meinem WP-Backend haben, aber das könnte eine unbewusste Voreingenommenheit sein.

Was ist der Unterschied zwischen einem Abonnenten und einem Mitwirkenden?

Bildbeschreibung hier eingeben

Ein Abonnent verfügt nur über die edit_posts , während ein Contributor über die functionen edit_posts und delete_posts . Dies bedeutet, dass ein Contributor seine eigenen Posts bearbeiten und löschen kann (aber keine anderen Posts). Sie sollten sich darüber im Klaren sein, dass Plug-ins und Themes einer Rolle auch zusätzliche functionen zuweisen können. Dies sind nur diejenigen, die die Contributor-Rolle standardmäßig besitzt.

Wird es also irgendjemandem erlauben, ein Mitwirkender zu werden, der Sicherheitsprobleme verursacht?

Nein, es wird Ihre Website nicht sofort angreifbar machen. Es erlaubt nur Benutzern, Beiträge zu erstellen und zu löschen, und WordPress erlaubt ihnen nicht, unsicheren Inhalt zu posten (XSS zu verhindern).

Es erhöht jedoch die Angriffsfläche, die einem potenziellen Angreifer zur Verfügung steht. Wenn in den Post-bezogenen functionen Sicherheitslücken vorhanden sind, kann jeder sie jetzt ausnutzen.

Aufgrund meiner eigenen Erfahrung bei der Untersuchung von Sicherheitserrorsn in WordPress-Plugins kann ich sagen, dass es häufig Sicherheitslücken gibt, die von Benutzern auf Abonnentenebene nicht ausgenutzt werden können, aber von Benutzern höherer Ebenen ausgenutzt werden können. Manchmal muss ein Benutzer ein Autor, ein Redakteur oder sogar ein Administrator sein – nur ein Contributor ist möglicherweise nicht ausreichend.

Allerdings gibt es genug Sicherheitslücken, die ausgenutzt werden können, ohne selbst Abonnent zu sein. Ich würde sagen, der Punkt ist strittig. Die meisten Angreifer werden sich nicht darum kümmern, ein Konto zu erstellen, damit sie einen Exploit ausführen können. Der beste Weg, um Hackerangriffe zu vermeiden, besteht darin, die Sicherheit der verwendeten Plugins und Designs zu gewährleisten.

Darüber hinaus bietet die Möglichkeit , dass Benutzer neue Posts am Frontend erstellen können, während sie nur die Subscriber-Rolle haben, nicht viel Schutz . Sie machen im Grunde einen Abonnenten zu einem Mitwirkenden. Wo sie die Post einreichen, ist für die meisten der hier relevanten Exploits nicht wichtig.

Die Benutzer als Abonnenten zu halten, ist wahrscheinlich nur ein falsches Gefühl der Sicherheit. Solange Sie keine Plugins installieren, die den Benutzern auf Contributor-Ebene Superkräfte verleihen, sollten Sie nicht schlechter dran sein, “Contributor” zur Standardrolle zu machen.