Защита форума: реально ли обойти простые уязвимости?
Всем привет! Наткнулся недавно на пару старых багов в популярных форумах — и задумался, стоит ли вообще заморачиваться с базовой защитой или проще периодически обновлять движок и забыть. С одной стороны, привычные векторы типа SQL-инъекций и XSS сейчас вроде как всем известны, многие CMS уже пыхтят с патчами. Но с другой — я видел форумы с открытыми админ-панелями, неправильными правами на папки и вообще забытыми по умолчанию уязвимостями. Часто ли вы просто проверяете базовые вещи? Например, права на файлы должны быть адекватными, а пароли не элементарными, многим форумам помогает элементарная двухфакторка.
Интересно, если сравнить — где лучше: постоянно делать поверхностные ручные проверки, или просто держать движок с плагинами максимально свежим и ловить новые баги через апдейты? Ну и что важнее — стоит ли заморачиваться с защитой на уровне конфигов и прав, если движок регулярно обновляется? У кого какой опыт?