Типичные дырки в форумах и как не дать им захлебнуться
Кто ведёт или только собирается вести форум, наверняка знает, что уязвимости — это боль. Часто встречается подряд две проблемы: забыли обновить движок или поставили кучу сомнительных плагинов. Первое, что нужно сделать — проверить, не висит ли у вас где-то старая версия CMS, и обязательно обновить все компоненты без исключения. Потом смотрите права на файлы — например, не должно быть 777 на всё подряд, иначе любой может залезть и нафиг всё испортить. Следующий момент — формочки и поля. XSS и инъекции встречаются у многих, поэтому фильтрация и проверка ввода — обязательно. Раньше видел форумы, где CSRF-токены вообще отсутствовали: просто беда. Если движок поддерживает двухфакторку — включайте и не думайте. Касательно плагинов — избегайте тех, что не обновлялись последние пару лет, они как гниль в организме. Лучшее решение — ставить минимум, а остальное писать самому, если есть навыки. И да, регулярное бэкапы никто не отменял. Как вы обычно справляетесь с устаревшими плагинами и патчами на своих форумах?