@mpaw: coś w tym jest.
O ile jestem prawie pewien, że efekt twojego pisania będzie gorszy (pod wieloma względami, w tym bezpieczeństwa) od jakiegoś sprawdzonego i znanego systemu, ale żeby radziecki hacker się włamał to będzie musiał się pobawić osobiście, automat raczej tutaj za wiele nie pomoże. A raczej nikt nie będzie tracić czasu na ręczny włam na stronę mechanika w Ustrzykach Górnych czy jakiejś firmy produkującej kapustę kiszoną.
Z drugiej strony - są narzędzia, ktore skanują wszystko co się da pod względem znanych luk bezpieczeństwa. I one doskonale wiedzą, jak się dobrać do Wordpressa czy innego znanego systemu.
Sam tak miałem 1 czy 2 razy - strona na WP postawiona i zostawiona samopas, po jakimś czasie została zaatakowana i to dość skutecznie. Nie było to nic ważnego, więc tragedia się nie stała, ale chcę pokazać, że jest to bardzo realny scenariusz.
Jeśli chcesz korzystać z WP czy innych gotowych rozwiązań to takie porady:
- zanim to zainstalujesz to trochę poczytaj - jak to dobrze zainstalować, na co zwrócić uwagę
- po instalacji zastosuj się do porad odnośnie zwiększenia bezpieczeństwa - usunąć zbędne moduły, zablokować niepotrzebne dostępy, zmienić hasła i loginy na nieoczywiste itp.
- podczas posiadania - regularnie sprawdzaj, czy w logach nie ma czegoś podejrzanego
- bądź na bieżąco, jak tylko pojawią się jakieś aktualizacje (zwłaszcza typu security lub bugfix) to je instaluj.
I tak nie będziesz mieć 100% pewności, zwłaszcza w przypadku tak zwanych zero day
, ale znacząco zmniejszysz ryzyko wpadki.