> для тех кто ссылается на secunia.com:
> по дырявости друпал и жумла одинаковыЭто если использовать методику Microsoft -- сравнивать циферки, а не impact...
> лучше та система которую лучше знаешь.
Это пока на неё дышишь и протираешь ветошью по утрам. А _хорошая_ система -- она особой поддержки не требует.
> при выборе готовой ЦМС надо всегда исходить из того какая задача ставится
Именно! Но не забывать, что задачи обычно ставятся не полностью -- часто ли требования по безопасности звучат хотя бы в виде "шоб не задефейсили через неделю после запуска"?
> Упрекнуть можно любую из систем и в том числе здесь обсуждаемых.
Безусловно.
> учитывайте так же wordpress, textpattern, typo3, modx, e107, ezpublisher
> (наверное это основные более менее адекватные из бесплатных систем).
Как минимум с плагинами к WP и с самой e107 тоже надо внимательно по части дырок (в _любом_ случае хорошо ставить перед бэкендом nginx, а если бэкендом апач -- то mod_security с базовым anti-XSS/SQLinj набором правил).
eZ были более внятными в 2004, чем в 2006/7 -- кажется, коммерциализация плохо отразилась, не помню уже.
TYPO3 -- _очень_ специфическая штука, её нет смысла осваивать/внедрять для сайта на пять страниц, а только долгосрочно. Как кто-то объяснял -- аэробус, а не велик, и за батоном съездить не годится. Но вытворять позволяет весьма занятные штуки.
> Собственно опыт у меня лично был со всем из выше перечисленных, если есть желание
> пообщаться - плз. но не думаю что в рамках сиих камментов. пишите в почту.
Возможно, лучше на форуме обсудить (отдельно) и на вики зафиксировать -- чтоб не повторяться в подобных темах, а подновлять сообразно текущей обстановке и ссылаться.
Спасибо!