Merlin777
Вы как будто спорите не с тем, что я написал, а с каким-то удобным для себя тезисом. Речь ведь не о том, что "все форумы обязательно взламывают" и что нужно ночами с фонариком обновления караулить. Речь о том, что личный опыт "поставил и забыл" - это не универсальное правило и уж точно не аргумент в технической дискуссии.
Merlin777 написал(а):Вы пишете про WordPress, Drupal и Joomla от 2018, 2014, 2015 года, а сейчас какой год? 
Merlin777 написал(а):что мешает поставить стабильную версию, а не бету?
Никто и не указывал, что речь исключительно про беты. Уязвимости продолжают находить каждый год, не зависимо от того, какого типа CMS - форумная, новостная или простенькая, собранная на коленке. Уязвимости находят, внезапно, в стабильных релизах, а не в альфе для энтузиастов. Никто массово не ставил бета-версии - проблемы были в production-сборках. В этом и суть: "стабильная версия" не равно "всегда безопасная версия". Вот к чему я веду.
Merlin777 написал(а):И это как бы не коммерческие форумы, и даже почему-то вообще не форумы
И в чём принципиальная разница? В структуре да и только? Тот же принцип работает и для форумных движков. Они не защищены магией жанра. Любой популярный софт становится объектом внимания злоумышленников, тут важен не тип CMS, а её популярность.
Merlin777 написал(а):фикс проблемы это просто закачивание нового файла модуля
Да, "просто". До тех пор, пока:
- нет кастомных правок, которые сломаются после обновления,
- нет несовместимых плагинов,
- нет устаревшей версии PHP на хостинге,
- нет проекта, который годами "не трогали", и внезапно нужно обновиться через три мажорных версии.
В теории всё просто. На практике - не всегда.
Ко мне летом прошлого года обратился клиент. До этого он самостоятельно обновлял без проблем по вашей схеме - закачал новые файлы, запустил апдейт. А сейчас не может. После обновления до новой версии у него пропадал стиль оформления, половина плагинов переставала работать. А связано это с глобальным изменением архитектуры движка. Как оказалось, добрая половина нерабочих плагинов - заказные (обратите внимание - не все), дизайн - кастомный. И то что работало на старой версии перестало работать на новой. Все эти предупреждения были написаны на сайте разработчика, что для обновления необходимо внести правки в свои проекты. Даже указывалось какие правки. Разработчик - зарубежный. Клиент обратился в коммьюнити движка, но там его побрили (и так вопросами заполонили). И такие случаи не редкость. Когда движок начинает обновляться, даже стабильные релизы могут приводить к проблемам, и не всегда если в проекте присутствуют кастомные правки и сторонние плагины.
И это не "раздувание из мухи слона" и не реклама SaaS. Это, в первую очередь, разница в модели ответственности. В коробке безопасность и обновления - на владельце. В SaaS - на провайдере. Вот и всё.
Конечно, шанс встретить хакера минимален, если вы сидите на, скажем, форуме с двумя десятками активных пользователей и всеми открытыми настройками. Но когда ваш форум находит свою аудиторию и начинает расти, хакеры никуда внезапно не исчезнут. Как раз на растущие проекты и нацелены многие современные угрозы. Это уже не "инопланетяне", а вполне реальные, даже банальные риски, с которыми сталкиваются владельцы популярных ресурсов. Игнорировать их - это как ехать по шоссе без ремня безопасности, потому что "меня ж не заденет".
Можно ездить на машине и самому её обслуживать. Можно пользоваться такси. Оба варианта будут рабочие. Но утверждать, что техобслуживание - это "страшилки для рекламы такси" - знаете, немного наивно.
