Necesito revisión de este consejo sobre el uso de la vista previa del tema

Al ayudar a otro administrador de nuestro sitio, di el siguiente consejo, pero no estoy seguro de que sea 100% correcto. ¿Podrían quienes lo saben revisar el texto y decirme si alguna parte es incorrecta?

Esto se da en el contexto de usar el botón de vista previa del tema.

Dado que los temas son solo CSS y JavaScript que se ejecutan después de que se ha devuelto el texto del mensaje desde la consulta SQL y no actualizan la base de datos, por lo que sé, es totalmente seguro; lo peor que espero que puedas hacer es alterar la página HTML individual que estás previsualizando.

Lamentablemente, los temas no son 100% seguros. La vista previa se ejecutará en el contexto de la cuenta de administrador y podrá realizar llamadas AJAX a todo tipo de rutas.

Una persona malintencionada podría causar bastante daño con un tema; sería muy evidente al revisar el código fuente, pero técnicamente es posible.

Gracias,

Debería haber mencionado, para dar contexto, que está bifurcando Enlazar palabras en la publicación para que funcione con el manual de referencia de Prolog, de modo que cuando se use un indicador de predicado ([module:]nombre{/|//}aridad?) se enlace directamente al predicado, por ejemplo, append/3.

No creo que esté agregando llamadas AJAX maliciosas, pero es bueno saberlo para prestar atención al descargar temas creados por otros.

La comunicación sobre el desarrollo del componente se encuentra en una publicación pública para quienes estén interesados.