一般来说，与系统上的任何其他主题或插件一样，没有任何内置功能可以阻止所有攻击向量

短代码是一种用于生成HTML的宏。不能做更多事情的短代码通常应该是安全的。

短代码的最大问题是它们的插入和“执行”不依赖于任何功能检查。如果您有一个可利用的短代码，即使是贡献者也可以滥用它。

那该怎么办呢？特别是如果您正在运行一个多作者站点，请避免违反第2点的短代码，尤其是那些明确允许您执行PHP代码的短代码，并且一如既往地只使用来自可靠来源的主题和插件（不幸的是，受欢迎程度几乎与“受尊重”无关）。

就像PHP代码中的所有问题一样。正如马克所解释的，总是使用来自可靠来源的主题和插件。有一种工具叫做RIPS 您也可以使用。