Názor k článku Čistění napadeného WordPressu: jak jsem hledal a vyhodil útočníka z webu od Vladki - Už to tu někdo psal, že je bezpečnostní...

Už to tu někdo psal, že je bezpečnostní průser, když web může sám sebe modifikovat.

Bohužel časy kdy se weby spravovaly a aktualizovaly výhradně přes FTP jsou dávno pryč. Tehdy šlo dát každému webu 2 usery, jeden pro ftp (čtení i zápis) a jeden pro webserver (pouze čtení). Ale jak na to jít dnes, když se všecho dělá přes web? Aktualizace obsahu, aktualizace frameworku, změny nastavení, instalace pluginů, všechno. To není jen WordPress. Stejně to má i třeba nextcloud. A určitě mnoho dalších. A těch návodů které obsahují "chmod -R 777" a "chown -R www-data" je mnoho.

Některé frameworky aspoň řeknou kam ten zápis potřebují, ale je to dostačující? Jak zabránit aby to co se tam nahraje nešlo spustit? Stačí noexec na /var/www a .htaccess (deny all) na složkách kam je zápis? PHP includu to nezabrání, a v závislosti na frameworku asi půjde nějak načíst i soubor uložený v tmp nebo tak něčem.

Nějaké tipy, jak udělat CMS v tomto ohledu bezpečnější?