>> А вариант "не ходить" почему-то не рассматривается. php с его "исполняю на
>> месте" - unsecure by default, хоть ты тресни. Есть, конечно, способ
>> для того же php-fpm, чтобы перечислить только все точки входа с
>> их полными путями, чтобы исполняло только их - но это опять
>> же, обходные средства, не лечат, а оттягивают. И чем дальше оттягивают,
>> тем больше теряется времени на то, чтобы сделать то, что нужно
>> - избавиться от php.
> не надо все усложнять, проблемы не в php, хотите еще сказочку про
> ботнет на вордпрессах ?

Проблемы в php. В php очень большие, очень огромные и очень серьёзные проблемы. Одно только то, что он делает php-стов - это большая проблема, но, увы, этим не ограничивается.

Самое смешное, что все фреймворки пытаются как-то уйти от этой парадигмы, прикрывают свою php-шную сущность. Только, если зажмурить глаза - проблемы не исчезают. Вот php-шников становится не видно - это да, а сами проблемы не исчезают.

Есть такая хорошая книжка - Эрик Реймонд, "Искусство программирования в Unix". На каждом уважающем себя столе она должна быть второй после {нового завета|пятикнижия|корана|морального кодекса строителя коммунизма|природоведения для третьего класса}. Там все преимущества unix-way чуть ли не на пальцах изложены, там очень хорошие примеры того, как нужно делать, и как делать не нужно. php ужасен, он ужасен изнутри, и ничего уже с этим не сделаешь.

> http://wordpress.org/extend/plugins/websitedefender-wordpres.../
> рекомендую для просмотра, замечательный плагин, супер решение по безопасности вордпресса
> для хомячков, почему то всего 47 тыс загрузок... даже странно
> решение по безопасности сводится к .... eval($код полученный из параметров POST запроса)

«Когда ты говоришь, „Я написал программу, которая роняет Windows“, люди просто тупо смотрят на тебя и отвечают: „Да мне такие программы вместе с системой достались, бесплатно.“» // Линус Торвальдс

Зачем ставить что-то, если придёт ботнет и сам всё сделает?

> после некоей аутентификации и расшифровки, выхлоп шифруется и отдается назад. Ну а
> теперь представьте что можно сделать имея такой контроль ?) Плагин до
> сих пор в каталоге.
> После установки они сразу дампят базу на свое облачко и тянут все
> файлы из каталога wordpress, возможно и не только оттуда..
> Так что приберегите помои приготовленные для PHP для иных целей... все тривиальнее,
> проще, тупее..

Итс пиэйчпи калче. В такой культуре только такие грибы и варятся.