Короче, с тех пор как услышал про всякие дырки в популярных движках, решил по-честному пройтись по самому простому чек-листу. Первое — всегда обновляю CMS и плагины, но не сразу на самом сервере, а сначала на тестовом стенде, чтобы не словить баг или несовместимость. Потом смотрю на права доступа к файлам и папкам: ни в коем случае не 777 на всём подряд, держу только то, что нужно для записи. Админку стараюсь закрыть не только паролем, но и ограничениями по IP, если есть такая возможность, или двухфакторкой. Есть момент с бэкапами — они должны быть вне публичной зоны и регулярные, чтобы если что — быстро откатиться. Ну и последний пункт, который часто упускают — логирование неудачных попыток входа и мониторинг подозрительной активности, если вдруг кто пытается подобрать пароль или запустить скрипт. Вроде ничего сложного, но помогает спать спокойней. Кто ещё как проверяет свою безопасность? Может что-то упускаю?