マルチサイトにユーザーがウイルスを感染させることはできますか？

あなたのブログの管理者であっても、マルチサイトはwordpress.comがユーザーに与えるのと同じセキュリティを持っています。スーパー管理者は基本的なWordPress権限を持っていますが、他の誰もが持っていません。

iframe、JavaScript、コードはありません。

免責事項 - 私はマルチサイトの詳細については経験していません。

これは与えられたアクセスの量によります：

• PHPコードを任意の形式で送信/実行する機能 - 悪い、決して許されるべきではありません。
• フィルタリングされていないHTML（+ JavaScript）を送信する機能 - インストール自体を危険にさらす可能性は低いですが、マルウェアをフロントエンドに投稿するために悪用される可能性があります。

全体的にこれはかなり特殊なケースであり、それにはニッチな専門知識が必要です。一般的なWP束ではなく、そのような種類のWPの使い方を専門とする人からのチュートリアルや相談を探すのがおそらく最善です。

ユーザーがプラグインやテーマをインストールすることができれば私の答えはイエスです

追加：

基本的にはwpmuと通常のwpの間に違いはありません。

特にあなたがあなたのサイトを更新することがめったにないときには、wpインスタンスを攻撃する多くの方法があります。そのため、最初のヒントはアップデートがリリースされたときの即時アップデートです。

この手順に従ってインストールを強化することができます。 http://codex.wordpress.org/Hardening_WordPress

ユーザーが新しいテーマをインストールすることを許可していないためにいくつかの手順を実行しなかった場合、プラグインが本当に役に立ちます。ユーザーがphpスクリプトをアップロードして実行できるときには、多くの機能があります。