Тема: Уязвимости
Движок хоть и сделан удачно, но не лишён уязвимостей. Для выявления их я использовалt Artisteer, именно этой программой хакеры пытались хакнуть мои сайты.
Но для начала хочу сказать:
устанавливая движок на хостинг, свой сервер или локально, всегда используйте длинный пароль из разных символов и имя пользователя, о котором будет трудно догаться (не admin! и не похоже на название вашего домена)
Обязательно установите плагин GST AdminLock, чтобы не дать обнаружить вашу админку
Не забудьте установить плагин kt block login, чтобы не дать ботам узнать пароль от вашего аккаунта
А теперь непосредственно уязвимости:
Файлы пользователей хранятся в /data/users/%name%.xml и существует возможность найти имя админа методом перебора, и ВНИМАНИЕ! в файле находится ваш логин, почта и пароль в SHA1, если ваш пароль состоит из 6 символов, его хэш можно найти в интернете и хакнуть вашу админку
В админке есть восстановления пароля (/admin/resetpassword.php), злоумышленник может воспользоваться ничем не защищённой формой в своих целях, я советую защитить этот файл поставив например дополнительный пароль или привязать его к ip
Некоторые плагины имеют формы, не защищённые от XSS, их можно проспамливать или даже внедрять свои коды, советую предельно внимательно отнестить к вашим плагинам и провести анализ форм