CMS как Цифровой Бункер:
Почему популярность убивает сайт?

Взлом сайта в 2026 году — это не парень в капюшоне, который печатает код в зеленой консоли. Это автоматизированные ботнеты, которые сканируют миллионы доменов в секунду в поисках файла wp-login.php или уязвимого плагина.

Security through Obscurity (Безопасность через неясность)

Эксперты по безопасности часто критикуют этот метод, но на практике для малого бизнеса он работает безупречно.

Seditio невидима для 99% ботов. У неё другая структура папок, другие куки сессии и другие имена полей в формах. Вы защищены просто потому, что вы не в "стаде".

Защита ядра: Входной фильтр (sed_import)

Главная дыра в безопасности PHP-сайтов — это доверие к данным от пользователя (`$_GET`, `$_POST`). В Seditio вы не можете просто так взять переменную из запроса.

Вы обязаны использовать функцию sed_import(), которая жестко типизирует данные:

// Пример кода Seditio
$id = sed_import('id', 'G', 'INT'); // Примет ТОЛЬКО целое число
$text = sed_import('text', 'P', 'TXT'); // Обрежет опасные теги
                

Если хакер попытается передать в id SQL-инъекцию (например, 1 OR 1=1), функция превратит это в 0 или обрежет. Это встроенный брандмауэр на уровне кода.

Проблема "Дырявых Плагинов"

WordPress взламывают не через ядро, а через плагины. "Календарь событий", написанный студентом за еду, может дать полный доступ к вашему серверу.

Защита от XSS и CSRF

XSS (Межсайтовый скриптинг): Злоумышленник пытается внедрить JavaScript код в комментарии или профиль, чтобы украсть куки админа. Seditio использует систему токенов во всех формах (регистрация, профиль, админка). Если токен не совпадает с сессией пользователя — действие блокируется.

Что делать, если паранойя обоснована?

Если вы храните важные данные, Seditio позволяет усилить защиту:

• Переименование админки: Файл admin.php можно переименовать в super_secret_entrance.php.
• IP Filter: Ограничение доступа в админку по IP в конфиге.
• Cookie Domain: Привязка сессии к поддомену.