От DDOS защититься можно неиспользованием PHP во фронтальной инстанции. Если один сервер - полное кэширование результатов в оперативной памяти.
От XSS и SQL-инъекций (кстати, по сути одно и то же, второе без первого врятли возможно) поможет защититься грамотное распределение прав на сервере. - Если интересно, могу дать консультацию. Но, скорее всего вы так не сделаете! В 95% случаев, сколько сайтов я настраивал на дедиках/vps, web-мастеры возвращают свои разрешающие все и везде права. Им, видете ли, неудобно устанавливать жумловские/вордпресовские плагины прям из админки.
Если же разрешить изменения всех файлов только пользователем ftp (то есть, запретить это делать вебсерверу), и разрешить делать только заранее заданные выборки из БД, то можно не бояться за безопасность по этим вопросам. Даже если у злоумышленника что и получится подобрать, все равно сделать он ничего не сможет. - Ни тебе шелл залить, ни базу пользователей угнать.
Но современные движки сделаны для очень ленивых пользователей, они сами формируют структуру своих файлов. Тебе надо то лишь просто залить версию дистра в корень сайта - остальное сделают скрипты, они же оставят себе права на изменеия файловой структуры для дальнейшего удобного использования. Ставишь плагины от третьих разработчиков - они тоже хотят постоянно что-то записывать в файловую структуру, их разработчики вообще не предусматривают варианты работы, когда на изменение ФС нет доступа, хорошо если выводят сообщение о том, чтобы web-мастер выдал разрешение...
Я не могу назвать этот факт никаким другим определением как долбо..бизм.
Средний
