En aidant un autre administrateur de notre site, j’ai donné le conseil suivant, mais je ne suis pas certain à 100 % qu’il soit exact. Ceux qui connaissent le sujet peuvent-ils le relire et me dire s’il y a une erreur quelque part ?
Ceci s’inscrit dans le contexte de l’utilisation du bouton d’aperçu du thème.
Puisque les thèmes ne sont que du CSS et du JavaScript s’exécutant après que le texte de la publication a été renvoyé par la requête SQL et qu’ils ne mettent pas à jour la base de données, à ma connaissance, c’est tout à fait sans risque. Le pire que vous puissiez faire, c’est altérer la seule page HTML que vous prévisualisez.
Malheureusement, les thèmes ne sont pas sûrs à 100 %. L’aperçu s’exécutera dans le contexte du compte administrateur et pourra effectuer des appels AJAX vers toutes sortes de routes.
Une personne malveillante pourrait causer beaucoup de dégâts avec un thème. Cela serait très évident en examinant le code source, mais c’est techniquement possible.
Je ne pense pas qu’il ajoute des appels AJAX malveillants, mais c’est utile de savoir à quoi faire attention lors du téléchargement de thèmes créés par d’autres.
Les échanges concernant le développement de ce composant sont disponibles dans un message public, pour ceux que cela intéresse.
