Adamos

Картинки могут использовать три вида уязвимостей:
1. В настройках вашего сервера. Если у вас можно загрузить картинку и обратиться к ней, и она останется неизменной и может оказаться не картинкой, а скриптом, который выполнится на сервере. Искореняется проверкой MIME и отдачей статики без обработки.
2. В библиотеках пользователя (старые версии libpng, например). В дикой природе практически не встречается, но если угодно, можно перекодировать файлы, используя ImageMagick.
3. И вот тут всплывает третий вариант: атака самого IM всякими форматами, в которых поддерживаются внешние ссылки. Искореняется ограничением того, что вообще можно загрузить и обработать, PNG и JPG, и последующей обработкой их IM.
На практике получаем, что проверка MIME и перекодирование IM решает все ваши проблемы. Заодно и еще одну - вам не навалят файлы такого размера, что внезапно кончится место на хостинге.
А вынос на другой сервер - вообще ни о чем. Только лаги увеличивать. Так делают для очень высоконагруженных проектов... но там и таких вопросов не задают ;)

Если в самих файлах тоже "только текст, никаких наворотов" - проще сразу конвертировать этот текст в HTML и потом пристегивать к админке совершенно любой из сто лет доступных продвинутых редакторов.

Предлагаю начать с этого источника ;)

Без знания хотя бы одного чисто серверного языка (пых/питон/жаба/дотнет) называться фулстеком - значит заранее обманывать ожидания работодателя. И завалиться на собеседовании, если действительно удосужатся проверить, насколько "фул ваш стек".
Баловство с Нодой - скорее бонус к специализации фронтэндера, чем претензия на фулстек.

Один день чтения документации по SVG, например.
Нет, SVG - это вовсе не обязательно "картинки".
Есть простой путь - нарисовать пару узлов в Inkscape, сохранить и посмотреть в текстовом редакторе, что получилось, поглядывая в документацию по SVG.

Труп Интернет Эксплорера на пути веб-технологий наконец истлел.
Следующей тушкой дорогу перегораживает Ёксель.

На кой вам таблица Ёкселя? Только из тех соображений, что юзер привык по ней бегать, в любых изменений боится? Так вы в веб тянетесь. В вебе нужна не каша в клеточку (Ёксель), а данные. К счастью, данные из вашей таблицы без особого труда выдираются и обрабатываются. Бегать по контролам на веб-страничке, внезапно, ничуть не сложнее. Визуализировать, добавлять графики и диалоги - тоже нетрудно. Так, может, забыть уже про этого кадавра и просто сделать пользователю удобный интерфейс, не завязанный на ОС?

На рынке достаточно изобретателей универсальных CRM, переплюнуть их - никаких шансов, при этом надо понимать, что никто из них так и не смог создать ничего такого волшебного, как задумывалось - чтобы можно было слегка поднастроить и получить годный инструмент для конкретного заказчика. Все равно программисту нужно дописывать конкретную реализацию конкретных хотелок.
Есть другая сторона этого рынка - нишевые инструменты для тех, кому универсальные либо слишком громоздки, либо написать с нуля проще, чем базироваться на универсальном.

Главная засада в том, что писать CRM, отталкиваясь от своих теоретических представлений о том, что там должно быть - заведомая работа на корзину. На этапе внедрения все эти красивые теории летят коту под хвост, и если система недостаточно гибка, чтобы завязываться узлом в нужном направлении - она просто не работает.

А если кто-то зайдет по FTP и удалит ядро сайта - это тоже разработчик должен учитывать?
Неполадки на хостинге, проверка целостности и консистентности данных - это одна тема. Слон в посудной лавке (идиот, имеющий прямой доступ, куда не надо) - совсем другая.

Быль. Использовал для одного проекта давным-давно зарегистрированный бесплатный аккаунт на Хостингере. Однажды даже оплаченный, когда они сделали вид, что это для отсеивания ботов, но речь не о том.
Хостингеру эта халява надоела, и заявили они, что больше бесплатного хостинга не будет - либо платите, либо валите на 000webhost. Решил проверить, что там, зарегистрировался, посмотрел - не понравилось. Пока проплатил Хостингеру, который подсуетился с акцией, потом съеду на что-то более вменяемое, скорее всего - дешевый VDS. Но речь опять-таки не о том.

Через неделю приходит мне на почту письмецо: "Я хакер, сломал ваш ящик, все дела, вирус по почте в веб-камеру, ваши нелицеприятные снимки по всем вашим контактам". И в доказательство взлома - пароль... который я использовал для регистрации на 000webhost, и только там. Вот тебе, бабушка, и бесплатный сыр.

Начать - конечно же, с выкидывания xampp и освоения Vagrant или Docker.
Скажем, если под PHP предполагается Laravel, то нетрудно заметить, что его документация начинается с Homestead.

В вебе все равно не будет GUI именно как на десктопе по той простой причине, что переход в веб - это не только смена платформы, но и смена парадигмы. От standalone программы к клиент-серверной архитектуре. Которая диктует свою логику построения интерфейса, в том числе.
Впрочем, парадигма супер-формочки для мышевозов пережила смерть Вижуал Барсика и Дельфей и вовсю прет в новый век веба, почти не меняя своей убогой сущности...

Проект интересен только вам или потенциальным покупателям тоже?
Если второе - вам нужны свои продажники, которые будут кричать о продукте громче, чем это могут сделать потенциальные воры.
Битрикс вон тоже можно при желании скопировать, но попробуйте его продать...