Eure Meinung zu mehreren Autoren - Sicherheitsfragen & mehr

Guten Tag,

ich plane, neue und "fremde" Autoren für mein System hinzuzufügen. Diese werden nur die Rechte haben, ihre eigene Beiträge zu erstellen und diese zur Prüfung zur Verfügung zu stellen. Sie haben nicht die Möglichkeit, diese Beiträge zu veröffentlichen - oder haben auch keine Möglichkeit, die Beiträge anderer zu bearbeiten. Auch haben sie generell keinen Einblick auf die installierten Plugins oder andere Daten, die für sie uninteressant sein sollte.

Es handelt sich hierbei um den ganz normalen Gruppenrolle "Autor", was zunächst vollkommen ausreicht.

Doch hier kommen einige Bedenken und Fragen ins Spiel, in der ich gerne eure Meinung dazu hören möchte.

Gehen wir von einem BadCase-Scenario aus, dass sich unter den Autoren trotz guter Vertrauensbasis ein schwarzes Schaf eingemischt hat. Welche Möglichkeiten hat dieser Autor mit den zur Verfügung gestellten Rechten, das System zu manipulieren?

Was mir spontan einfällt, wäre das ausnutzen des Dateisystems. Was ist, wenn der Autor einfach 500 GB an Bilder, oder gar Malware hochlädt?
Oder die Login-URL kennt (diese ist natürlich standardmäßig nicht auf wp-login.php).
Welche Möglichkeit zur Manipulation stehen einem schwarzen Schaf zur Verfügung, und welche Sicherheitsmaßnahmen stehen mir zur Verfügung, um das Risiko solches Szenario bestmöglichst niedrig zu halten?

Ich möchte dabei gerne eure Meinung und Erfahrung in der Hinsicht erfahren - wie ihr damit vorgeht - wie ihr euch abgesichert habt, etc.

Falls noch Fragen sind, beantworte ich sie gerne!

Mit freundlichen Grüßen!

 

Besitzt von euch tatsächlich keiner einen Blog, in der mehrere Autoren verschiedene Beiträge verfassen können? Kann mir dazu wirklich keiner etwas sagen?

Oder habe ich die Frage unverständlich formuliert? :sad:

 

Huhu,

das wäre tatsächlich eine Idee, kann aber auch auf Dauer auf die Nerven gehen. Nicht für den Admin, sondern für den Autor bzw. "Contributor". Ein Plugin zum einstellen, was genau der einzelne Benutzer machen kann, gibt es ja zuhauf. Vielleicht wäre aber die Idee da, auch nur .jpg- oder .png-Dateien zuzulassen, da diese, ohne dass man einen großen Aufwand betreibt, kaum bis keinen Schaden anrichten kann. Wäre das eine Idee? Oder kann man hierbei noch Unfug angestellt werden?