Php 普通wordpress管理面板在服务器端代码执行时是否安全？

比如说，我想让某人访问wordpress管理面板，以便他可以编辑帖子、设置等

我的问题是：普通wordpress安装中的管理面板是否安全，这样新用户就不能运行任何PHP服务器端代码？他显然无法安装插件（没有ftp访问，chmod+r-w和所有wp文件夹）

---

他可以将任意多的Javascript放到帖子中，我知道他可以劫持我的cookies等等，我不介意。我只询问服务器端代码。

老实说，这不是一个可以简单回答的问题

据我所知，没有一个管理员可以编辑文件、上传文件或输入要执行的PHP的位置

然而，这并不意味着没有执行PHP的方法。据我们所知，目前Wordpress的当前版本没有已知的安全漏洞，但只有时间才能证明这是否会保持不变。例如，可能会利用表单并输入可能无意中执行的PHP。还可以使用未在服务器上正确清理的PHP代码编辑URI

看看这个网站，它将显示Wordpress过去存在的众多漏洞

---

我确信Wordpress开发人员并没有故意发布带有这些bug的软件，但它确实发生了。

AFAIK默认情况下，您只能通过模板编辑器来完成

现在。。。如果您不允许修改任何文件，理论上没有其他OOTB功能允许执行任意代码，因此应该是安全的，但是。。。！是Wordpress，来吧。。。它一直都有安全问题，而且它将继续这样做，因为它充满了遗留代码，而且设计糟糕

---

另外，老实说，即使是精心设计的软件，你也不应该做出这样的安全假设。

如果你的WordPress安装是最新的，你只使用可信开发人员提供的插件，并且你的用户角色根据你的特定安全需求进行了适当配置，那么，是的，您可以期望WordPress admin不受服务器端脚本的影响

开箱即用的WordPress附带用户角色，可以根据您的喜好进行修改。例如，我是一个多站点的超级管理员，可以访问所有站点和网络管理员，但我不希望我的管理员也有。我可以设置网络管理员区域的访问级别，以及每个管理员可以访问哪些站点

这可以进一步定制，以禁用主题/插件编辑器等功能，这样您就只能从FTP等操作核心文件。此外，还可以禁用安装插件的功能

我使用一个名为User Role Editor and Adminimize的插件来控制任何角色的各个部分，如编辑器、管理员等。我还编写了自己的插件来进一步定制用户体验

默认情况下，我相信您会在页面/帖子中发现任何js或其他脚本都会从wp编辑器中剥离出来。您可以通过使用文本小部件或我使用的名为HTML Javascript Adder的插件来避免这种情况

---

你不能在后端编辑插件

php

来包含你喜欢的内容吗？它是wordpress。你也可以假设基本上没有“安全性”。@Luke什么插件？我使用的是vanilla wordpress，没有插件。@Peter即使没有安装插件，管理员帐户仍然可以编辑任何主题文件。

外观>编辑器下的php

如果wordpress基本上没有安全性，那么它就不会是世界上使用最广泛的CMS。根据我的经验，这完全是关于如何运行服务器和管理软件。我发现WP非常安全可靠，比其他流行的CMS更容易管理。我知道这正是我问这个问题的原因。第二部分你错了，比如说，相信他们的软件给了我写这篇评论的权利。所以你知道wordpress不能被认为是安全的，但你问你是否可以？：）顺便说一句，SO的比较根本不合适。他们信任自己的软件。您正在询问是否可以信任他人的软件，因为该软件在安全性方面名声不好！：-Pso你信任linux、php、apache、ngnix、python、框架、nodejs吗？基本上所有的东西都信任吗？当然，但例如，即使是默认的LAMP堆栈也需要一些安全调整。这最终取决于具体情况。我想你真正想问的是“足够安全吗？”没有人能盲目地回答这个问题。没有更多的背景。vanilla wordpress和不应该有权限执行任何代码的用户。