Die Registrierung neuer Benutzer ist sicher, weil jedem Benutzer eine Benutzerrolle zugewiesen wird, die bestimmte Rechte zugewiesen bekommen hat. Ein Abonennt kann keine Plugins installieren und keine weiteren Nutzer mit belibeigen Rollen anlegen.
Eine Registrierung durch neue Benutzer kann durchaus sinnvoll sein, wenn z.B. nur registrierten Benutzern das Kommentieren von Beiträgen ermöglicht werden soll, um die Kommentare etwas restriktiver zu handhaben.
Nur durch die Registrierung neuer Nutzer haben Angreifer keine Möglichkeit, über Spam-Kommentare hinaus Schaden anzurichten – vorausgesetzt die Website ist richtig konfiguriert und die Benutzerrollen wurden nicht durch planlose Änderungen erweitert. Eine fehlerhafte Konfiguration wäre die Einstellung „Jeder darf sich registrieren“ in Verbindung mit der Benutzerrolle „Administrator“. Ein Angreifer wird austesten, ob er eine Benutzerrolle mit weitergehenden Rechten hat, um z.B. Spam zu veröffentlichen. Das ändert aber nichts an der Sicherheit von WordPress.
Wäre die Registrierung neuer Benutzer von vornherein mit Risiken verbunden, hätten die Core-Entwickler längst Änderungen am Core vorgenommen.
