如果只是让助手协助整理博客，目标应该是：能写草稿，但写不坏站点。

最稳的做法只有四条：

• 给助手单独创建账号
• 只给最小必要权限
• 用 REST API + Application Password 接入
• 把发布权限留在人手里

一、账号怎么建

不要复用站长或管理员主账号，单独建一个专用账号。

如果用途只是创建和修改自己的草稿，通常给到 Author（作者） 就够了。

不推荐：

• 直接给 Administrator（管理员）
• 多个自动化流程共用一个账号
• 让助手长期持有人工登录主账号

二、怎么接入

推荐方式：

• WordPress REST API + Application Password

好处：

• 和人工登录密码分离
• 可以单独吊销
• 适合程序化创建和更新草稿

不推荐：

• 直接把后台登录密码交给程序
• 把浏览器 Cookie 当长期凭据
• 用高权限账号承接全部自动化流程

三、公开文章里该讲什么

适合公开讲的是原则和流程：

1. 创建专用 WordPress 用户
2. 只赋予最低必要权限
3. 生成独立的 Application Password
4. 通过 REST API 只做草稿创建和更新
5. 验证它能写草稿，但不能越权发布
6. 保留轮换和吊销能力

关键边界：

• 自动化账号 ≠ 管理员账号
• 应用密码 ≠ 后台主密码
• 草稿权限 ≠ 发布权限

四、哪些内容不要公开

这些不要写进公开博客：

• 明文 Application Password
• 后台真实登录密码
• SSH/服务器口令
• 后台隐藏入口
• 内网 IP、端口映射、数据库密码
• token、cookie、Authorization 头
• 真实生产环境的可利用细节

五、最常见的错误

• 把管理员账号直接交给助手
• 程序复用网页登录密码
• 多个机器人共用一组凭据
• 让自动化账号默认拥有发布能力
• 把密钥写进聊天、文档或代码仓库

结论

如果要让助手接入 WordPress，最稳的路线就是：

专用账号 + 最小权限 + 草稿通道 + 人工发布。

这样助手能参与内容整理，但不会顺手拿到整站控制权。