hi,

ist es beim Apache eigentlich ein Unterschied in der Sicherheit, wenn man ein CMS außerhalb der Document Root installiert (und es i.d.R. dafür aber vollständig umkonfigurieren muss)

wie nutzt du es dann?
um damit arbeiten zu können, muss es doch wohl irgendwie über HTTP erreichbar sein, zumindest teilweise ... oder wird es nicht über's www genutzt?

oder es innerhalb der Document Root installiert, und die zu schützenden Verzeichnisse "nur" mit .htaccess oder einer <directory>-Angabe sperrt für HTTP-Zugriffe?

so lange alles "funktioniert", macht das wohl wenig unterschied.

aber nimm nur mal den fall, dass deine .htaccess überschrieben wird, durch irgendeinen unbeabsichtigten befehl.
dann ist der zugriff über HTTP offen - oberhalb des roots immer noch nicht.

gruß,
wahsaga