Сервер
- Закройте прямой веб-доступ к служебным каталогам.
- Разрешите обработку PHP только через корневой
index.php. - Используйте HTTPS и актуальное серверное окружение.
- Не храните секреты в публичных репозиториях.
Доступ
Используйте индивидуальные учётные записи администраторов и удаляйте доступы сотрудников, которым они больше не требуются.
Файлы
CMS проверяет расширение, MIME-тип и содержимое загружаемых файлов. Выполнение скриптов в каталоге uploads должно быть запрещено веб-сервером.