Les meilleures pratiques pour sécuriser une installation Buddypress?
Un de mes clients exécute un site basé sur Buddypress (BP 1.2.6 sur WP 3.0.2). Nous aimerions donner aux utilisateurs la possibilité de publier leurs propres blogs, mais nous ne voulons pas qu'ils soient capables d'exécuter du code PHP (nous utilisons beaucoup le plugin Exec-PHP sur le site. ), activer/désactiver les plugins, ou fondamentalement tout sauf utiliser le site et publier des blogs. Comment pouvons-nous verrouiller les choses de sorte que seuls les utilisateurs avec des privilèges de niveau "admin" et plus puissent exécuter PHP code, activer/désactiver les plugins, gérer les utilisateurs, etc.
Kit, je dirais que si vous utilisez abondamment Exec-PHP, ce dont vous avez vraiment besoin, c’est d’un développeur qui peut faire en sorte que tout se passe sans lui. En réalité, ce plugin est une béquille qui est facilement remplacée par les widgets, plugins et modèles de code appropriés. Donc, le meilleur conseil que je puisse vous donner pour sécuriser ce plugin est de le supprimer.
J'ai rencontré ce plugin l'autre jour. http://justintadlock.com/archives/2009/09/17/members-wordpress-plugin
Il vous permet de définir les privilèges pour pratiquement tous les aspects de wordpress.