Warum dürfen einige Benutzer ungefiltertes HTML veröffentlichen?
Benutzer mit Administrator- oder Editor-Rollen dürfen ungefiltertes HTML in Posttiteln, Post-Content und Kommentaren veröffentlichen. WordPress ist schließlich ein Publishing-Tool, und die Leute müssen in der Lage sein, das für die Kommunikation benötigte Markup einzubinden. Benutzer mit geringeren Berechtigungen dürfen keine ungefilterten Inhalte veröffentlichen.
Wenn Sie Sicherheitstests für WordPress ausführen, verwenden Sie einen Benutzer mit weniger Berechtigungen, damit der gesamte Inhalt gefiltert wird. Wenn Sie Bedenken haben, dass ein Administrator XSS in Content einbinden und Cookies stehlen soll, beachten Sie, dass alle Cookies nur für die HTTP-Zustellung markiert sind und in privilegierte Cookies für Admin-Seiten und nicht privilegierte Cookies für öffentlich zugängliche Seiten unterteilt sind. Der Inhalt wird niemals ungefiltert im Admin angezeigt. Unabhängig davon hat ein Administrator weitreichende Superkräfte, von denen ungefiltertes HTML ein geringeres ist.
In WordPress Multisite kann nur der Super Admin ungefiltertes HTML veröffentlichen, da alle anderen Benutzer als nicht vertrauenswürdig angesehen werden.
Um ungefiltertes HTML für alle Benutzer, einschließlich Administratoren, zu deaktivieren, können Sie define('DISALLOW_UNFILTERED_HTML', true); zu wp-config.php hinzufügen.