Почему некоторым пользователям разрешено размещать нефильтрованный HTML?
Пользователи с правами администратора или редактора могут публиковать нефильтрованный HTML-код в заголовках сообщений, размещении контента и комментариях. WordPress - это, в конце концов, инструмент публикации, и люди должны иметь возможность включать любую разметку, необходимую для общения. Пользователям с меньшими привилегиями не разрешается публиковать нефильтрованное содержимое.
Если вы используете тесты безопасности для WordPress, используйте менее привилегированный пользователь, чтобы весь контент был отфильтрован. Если вы обеспокоены тем, что администратор помещает XSS в контент и крадет файлы cookie, обратите внимание, что все куки отмечены только для доставки только HTTP и разделены на привилегированные файлы cookie, используемые для страниц администрирования, и непривилегированные файлы cookie, используемые для открытых страниц. Содержимое никогда не отображается нефильтрованным в администраторе. Независимо от того, администратор имеет широкие полномочия, среди которых нефильтрованный HTML является меньшим.
В WordPress Multisite только Super Admin может публиковать нефильтрованный HTML, так как все остальные пользователи считаются ненадежными.
Чтобы отключить нефильтрованный HTML-код для всех пользователей, включая администраторов, вы можете добавить define('DISALLOW_UNFILTERED_HTML', true); в wp-config.php.