La fonctionnalité "promotion_users" permet-elle à quelqu'un de créer un nouveau compte administrateur?
J'ai créé un rôle de "deuxième administrateur" pour éviter le pire scénario sur mon site WordPress lorsque j'ai des sous-traitants occasionnels en développement Web. Cependant, si je leur donne la capacité de 'promouvoir_users', peuvent-ils promouvoir un utilisateur aléatoire en administrateur et ensuite contourner les limitations en place?
Oui, si vous attribuez "promotion_users" à un autre utilisateur, celui-ci peut promouvoir des administrateurs autres que des administrateurs de site auprès de l'administrateur du site.
https://codex.wordpress.org/Roles_and_Capabilities#promote_users
De la docs :
- Active le menu déroulant "Changer le rôle en ..." dans la liste des utilisateurs administrateurs. Ce
- ne dépend pas de la capacité 'edit_users'.
Donc, il semblerait que oui, un entrepreneur occasionnel pourrait promouvoir un utilisateur aléatoire au lieu d'un administrateur, mais vous risquez de manquer le point:
Si une personne effectue des travaux de développement sur votre site et qu'elle possède l'un des accès ou autorisations suivants, elle peut (le cas échéant) posséder votre site:
- Accès FTP avec des autorisations d'écriture
- Accès à la base de données à distance
- cPanel ou autre accès d'hébergement
- Accès utilisateur WordPress au niveau de l'éditeur ou supérieur
- Un tas d'autorisations individuelles, y compris, mais sans s'y limiter:
edit_filesinstall_pluginsunfiltered_html
Alors, choisissez vos pigistes avec soin!