Плагины комментирования.

Во-вторых, далеко не все авторы плагинов заботятся о том, чтобы настройки плагина показывались только админам. А в настройках могут быть очень интересные данные.

+1
И не только настройки, кстати.
Некоторые плагины (напр для бекапов, мониторинга, статистики и тл) могут такое засветить подписчику/автору….

то о чем вы говорите — может быть и на других движках.

И не только движках и ОС (как, между прочим, сказал Юрий), но и на устройствах и вообще очень и очень :).

И это не «недальновидность» разработчиков этих ОС, а банально большой функционал, где сложно сразу всё отследить.
Недальновидность — это как раз не думать о таких потенциально возможных опасностях и давать привилегий больше, чем гостевые, там, где это реально не нужно или можно пользователей вынести отдельно

Ну тогда почему в этой ветке новичка пугают такими вещами?

Что значит пугают? Что значит новичка?
Вообще-то это я Вам отвечал на Ваш комментарий.

А что, ТСа напугали? И чем же? Пояснениями что ненужно без большой нужны скрещивать движки = давать юзерам права, которые теоретически можно повысить? Что опасная инфа может быть доступна даже малопривегилированым юзерам? Никакое это не пугание, это информация для подумать. Как минимум о том, что если это делать, то нужно знать где и как это проконтролировать и обязательно принять превентивные меры.

[немного ещё поофтопим 🙂 ]

Некоторые плагины (напр для бекапов, мониторинга, статистики и тл) могут такое засветить подписчику/автору….

Вот буквально вчера я на такое нарвался на ВП 4.8.3.
Рассказываю по порядку.
Для показа возможностей темы заказчику есть замечательный плагин Customizer Preview for Theme Demo (CPfTD).
Так вот, этот плагин создаёт почти бесправного юзера customizer_user и при заходе гостя(!) в кастомайзер он его его тут же меняет на customizer_user. Всё бы ничего, но при выходе из кастомайзера он выходит с параметрами в урле (?customize_changeset_uuid=xxx) и юзера не разлогинивает. Те юзер выходит на главную, но вверху появиться админбар. Никуда, правда, этот юзер попасть не может, но вот бар появляется.
И причём этот параметр в урле появляется не сразу, а после некоторых манипуляций.

Но это мелочи. Куда опаснее другое.
Во время разработки я всегда использую QM чтобы видеть как ведёт себя тема и пр.
Так вот, при использовании CPfTD все данные QMа видны customizer_user-у (гостю по сути).

@otshelnik-fm, это я к тому, что великое множество и разнообразие плагинов и тем (+ их настроек юзерами) да и версий ВП никак не может гарантировать безопасность даже самого надёжного решения, тк что с к кем как будет взаимодействовать и при каких условиях работать.
А кроме непосредственно самого движка (ВП или др., не важно) есть ещё и разные версии php, ошибки в коде и тд.

Ида. это просто для инфы я рассказал вчерашнюю историю. Отвечать не нужно 🙂
[/офтоп]

Но в чем именно вы меня хотите убедить — не пойму хоть убейте.

Ни в чём, не нервничайте.

гостевой постинг на форуме разве нельзя сделать авторизованным «анонимным» комментированием с подпиской и каптчей?

Я не помню, чтобы такое я видел в реальности (форумов с гостевым постингом видел несколько). И в настройках форумных движков тоже не припомню, что есть. Но тут я мог и пропустить этот момент — я никогда не ставил форумов с возможностью гостевого постинга.
Может Юрий или кто ещё что скажет по этому поводу ;).

Но у ВП в чём особенность — во первых аватары на граватаре, что уже как-то идентифицирует юзера, даже если он на граватере не регался (хотя технически нет запретов не использовать этот механизм и на форумных движках), во вторых — база таких юзеров находится отдельно от юзеров движка. Они и юзерами-то не считаются вовсе.

а увеличение контентного объёма сайта на CMS WordPress без интеграции в него форума разве не будет раздувать базу ненужными данными?

Ну если это ненужный контент, то зачем его увеличивать? 🙂