Поднимаю тему, потому что столкнулся с парадоксом: вроде хромают старые уязвимости из OWASP, но и новые появляются регулярно, и не всегда достаточно просто обновить CMS или плагин. Недавно тестил пару сайтов — на одном помогла стандартная актуализация и настройка заголовков безопасности, на другом — пришлось ковырять код, потому что внедрили кастомную логику, где стандартные инструменты не срабатывали.