index0h

сверено с исходниками - все чисто

И в БД тоже? Я очень давно последний раз трогал MODx и на сколько помню там было в моде часть исходников хранить в БД.
Надеюсь вы проверяли исходники не вручную? (в смысле через diff в вашей VCS + в БД)

Есть мысли вынести сайты на уровень выше корня, оставив только точку входа

Это первое, что нужно делать))

Как вообще проводится поиск эксплойтов на сайте, если идей никаких нет?

0 - Если у вас в публичном каталоге не одна точка входа, а весь проект - вы уже себе в ногу выстрелили
1 - Ищутся CVE в багтрекере CMS
2 - Проверяются плагины, установленные в системе, они тоже могут содержать уязвимости
3 - Проверяется возможность загрузить и выполнить файл. Например на uploads (или как там каталог называется) права на запуск должны со всей силы отсутствовать
4 - Проверяются открытые порты сервера (если наружу торчит mysql, redis, memcached, ... - тогда сами себе злобный буратино)
5 - Ищутся все возможные точки с eval/include/require/include_once/require_once/exec/shell_exec/... для стороннего кода это потенциальная точка выполнения
6 - Ищутся возможные sql инъекции по коду cms/плагинов
7 - Ищутся всевозможные phpmyadmin и тому подобные сервисы, торчащие наружу
8 - Если в коде активно юзаются глобальные переменные - это потенциальная дыра в безопасности
9 - Если аргументы методов не проверяются - это тоже потенциальная дыра в безопасности
10 - Вам стоит убедиться и в том, что отсутствует утечка изнутри. На одном проекте случайно нашел залитый бывшими сотрудниками phpspy

Welcome to NodeJS))
www.sitepoint.com/exploring-different-cms-solution...

хранением базы данных в файле.

Обычно так никто не делает. Есть СУБД и вы с ней работаете, а не с файлом.

Golang по умолчанию компилируется в 1 бинарь. Да, можно подключать shared либы, да можно собирать, но язык заточен не под это.
Что бы подключать функционал - гуглите на тему "golang unsafe", "golang load dynamic library". Но вообще говоря - это со всей силы не golang-way.

каждый модуль использовать как микросервис

вполне вариант

представить не могу как расширить функцию парсинга команд

Вам нужен некий резолвер, который будет заполняться мета данными о ваших командах в процессе старта приложения. Далее на основании собранных данных нужно будет настраивать парсер команд.

Если же вы хотите нечто эдакое сделать с помощью отдельных микросервисов - потребуется как минимум еще один, который будет распределять действия между остальными. Например через сервер очередей, либо rpc. В любом случае протокол общения между сервисами вам придется спроектировать. А если запуск через консоль - это еще один клиент. Грубо говоря эта штука может выглядеть так:

[client] <-??-> [client-app] <-rpc|queue|...-> [main-server] <-rpc|queue|...=>[modules]

nohup php /path/to/file.php &

Для php web разработки must have:
- vagrant: https://www.youtube.com/watch?v=3WldiUHkFnw
- phpStorm
- git

И как заливать изменения в проекте на сервер? С помощью GIT?

Есть много подходов, git pull - один из них. Все зависит от проекта, серверной архитектуры и требований к безопасности.

Скорость сборки в большей части зависит от правил сборки. Можно даже на отличном железе сделать медленную фигню. Очень критично - не пересобирать то, что этого не требует. В остальном - да, cpu.

Проверять данные в каждом методе - это вполне отличная практика, по сути это соблюдение интерфейса метода.
Но возвращать при этом null/false - практика хреновая, если ваш метод на вход требует int, а получил array - надо бросать исключение. Так вы будете знать, что внешний код, который использует ваш метод работает не корректно.

Для объектов настоятельно рекомендую использовать type hinting:

public function test(MyObject $object, $id)
{
    if (!is_int($id)) {
        throw new \InvalidArgumentException('Argument "id" must be int');
    } elseif ($id < 0) {
        throw new \InvalidArgumentException('Argument "id" must be positive');
    }
...

Если пишете на семерке, то и для скаляров и на вывод - тоже стоит указывать type hinting. Правда с выводом не всегда это можно делать, например возврата null, или что-то еще.

public function checkPositive(int $intData): bool

Для сокращения проверок можете мой пакет заюзать https://packagist.org/packages/ko-ko-ko/assert, он спроектирован под максимальную производительность и использование в каждом методе.

Стоит ли продолжать заморачиваться с проверкой передаваемых данных в каждой функции?

Да. За счет этого вы выигрываете в безопасности, надежности и времени поиска багов.

ну, эта ваша защита от ничего))

<?php

use Symfony\Component\HttpFoundation\Request;
use Symfony\Component\HttpFoundation\Response;

class InvalidRequestParam extends \InvalidArgumentException
{}

class MyController
{
    /**
     * @param Request $request
     * @return Response
     */
    public function myAction(Request $request)
    {
        try {
            $intPostParam          = $request->request->get('intPostParam');
            $unsignedIntPostParam  = $request->request->get('unsignedIntPostParam');
            $md5GetParam           = $request->query->get('md5GetParam');
            $optionalDigitGetParam = $request->query->get('optionalDigitGetParam');

            if (is_null($intPostParam)) {
                throw new InvalidRequestParam('"intPostParam" is required');
            } elseif (!is_numeric($intPostParam)) {
                throw new InvalidRequestParam('"intPostParam" must be numeric');
            }

            if (is_null($unsignedIntPostParam)) {
                throw new InvalidRequestParam('"unsignedIntPostParam" is required');
            } elseif (!ctype_digit($unsignedIntPostParam)) {
                throw new InvalidRequestParam('"unsignedIntPostParam" must be digit');
            }

            if (is_null($md5GetParam)) {
                throw new InvalidRequestParam('"md5GetParam" is required');
            } elseif (!preg_match('/^[\da-f]{32}$/', $md5GetParam)) {
                throw new InvalidRequestParam('"md5GetParam" must be correct md5 hash');
            }

            if (!is_null($optionalDigitGetParam) && !ctype_digit($optionalDigitGetParam)) {
                throw new InvalidRequestParam('"optionalDigitGetParam" must be digit or null');
            }

            // Тут ваша бизнес логика

            return new Response('All params correct');
        } catch (InvalidRequestParam $e) {
            return new Response($e->getMessage(), Response::HTTP_BAD_REQUEST);
        } catch (\Throwable $e) {
            return new Response('Some thing went wrong', Response::HTTP_INTERNAL_SERVER_ERROR);
        }
    }
}