Ніяк не можу знайти інформацію чи потрібно перевіряти безпеку (права користувача) якщо я зберігаю мета дані update_post_meta? Можливо цю перевірку вже робить wordpress ?

Потрібно так перевіряти, чи ні ?

if(current_user_can('edit_theme_options'))
{
...
update_post_meta(...);
...
}

Якщо говорити більш конкретніше я зберігаю ці дані, коли спрацьовує функція зворотнього виклику.
Я створив "гачок" (хук) wp_update_nav_menu_item, і прив'язав до нього функцію зворотнього виклику, яка зберігає дані використовуючи update_post_meta.

Якщо, скажімо, якимось чином користувач, що немає прав зберігати меню, натисне кнопку зберегти меню, що зробить WP ? Заборонить збереження і не викличе мою зворотню функцію чи заборонить збереження і викличе мою зворотню функцію ?