Фишка в другом: DLE/Joomla/Друпал и т.д. и т.п. - довольно используемые движки с открытым (привед нулерам) кодом. В них специально ищут ошибки как логики, так и программирования. При нахождении ошибок, как правило, они вылетают в паблик.
Не все администраторы каждые 10 минут клацают кнопку "обновить" на оф сайте производителей, в надежде увидеть заплатку (ну или хотябы инфу об уязвимости). В период, пока будет выпущена заплатка и её установят, школота (и не только) сложит кучу сайтов тупо ради удовольствия. Достаточно вспомнить случай с версией 8.2, в которой при формировании лёгкого запроса можно было получить любой пароль от любого участника. Это была повальная эпидемия... кого не хакнули - тот просто был неинтересен.
Что касается самописных цмс: Их, как правило, в паблик не выбрасывают, а значит и найти ошибку в коде становится несколько затруднительно. А если учесть тот факт, что цмски используются в ограниченном кол-ве, то ещё и по сути бесполезным.
Разумеется, что если захотят сломать, сломают. Это вопрос квалификации и желания.
|