Precisa de revisão deste conselho sobre o uso da pré-visualização do tema

Ao ajudar outro administrador do nosso site, dei o seguinte conselho, mas não tenho certeza se está 100% correto. Quem souber, por favor, revise e me avise se alguma parte estiver errada.

Isso está no contexto do uso do botão de pré-visualização do tema.

Como os temas são apenas CSS e JavaScript que são executados após o texto da postagem ser retornado da consulta SQL e não atualizam o banco de dados, AFAIK é totalmente seguro; o pior que você pode fazer é estragar a única página HTML que está pré-visualizando.

Infelizmente, os temas não são 100% seguros. A pré-visualização será executada no contexto da conta de administrador e pode fazer chamadas AJAX para diversos roteiros.

Alguém mal-intencionado pode causar muitos danos com um tema. Isso seria muito óbvio ao analisar o código-fonte, mas é tecnicamente possível.

Obrigado,

Deveria ter mencionado, para contextualizar, que ele está fazendo um fork do Linkify words in post para funcionar com o manual de referência do Prolog. Assim, quando um indicador de predicado for usado ([module:]nome{/|//}aridade?), ele criará um link direto para o predicado, por exemplo, append/3.

Não vejo indícios de que ele esteja adicionando chamadas AJAX maliciosas, mas é bom saber o que procurar ao baixar temas criados por outras pessoas.

A comunicação sobre o desenvolvimento do componente está em um post público para quem estiver interessado.