Mit Frontend meinte ich die Website, die öffentlich erreichbar ist.

Und darunter würden die meisten etwas verstehen was irgendwie beim user angezeigt wird (unter anderem auch Formulare). Dem bedarf es aber nicht, bzw. kann das so (scheinbar) abgesichert sein wie es will. Darauf wollte ich in dem Zusammenhang hinaus.

Auf der gesamten Website gibt es für den User keine Möglichkeit, irgendwo dauerhaft etwas zu hinterlassen.

Wenn dem so ist, dann ist es ja gut. (Wenn man mal von sowas absieht, daß beispielsweise auch mit einer nicht dauerhaften sql-Injektion Paßwörter abgefragt werden könnten, nur zur Info.)

Hingegen das CMS (,das ich ach gerne als Backend bezeichne) verarbeitet natürlich die empfangenen Daten um DB-Inhalte und Dateien zu schreiben. Dieses CMS ist über www.example.org/_admin/ erreichbar. Sämtliche Requests innerhalb des CMS nimmt eine /_admin/index.php entgegen und für die gibt es eine SESSION-basierte Authentifizierung.

Das CMS ist mindestens über jede url erreichbar über die es Inhalt ausliefert, also nicht nur über _admin, nur zur Info. Daß Potential für Sicherheitslücken mag im Admin bereich deutlich höher sein aber wenn man es genau nehmen will, dann sollte man es im Sprachgebrauch auch genau nehmen.

ABER: js, css, jpg usw., die sich auch in dem Verzeichnis befinden, werden ohne Authentifizierung vom Server ausgeliefert UND ... und darin besteht theoretisch die Schwachstelle,

Wenn das eine Schwachstelle sein soll (oder überhaupt sein kann), dann hast Du woanders eine Schwachstelle. Oder was lieferst Du da aus

Kurzum: Meiner Ansicht nach ist alles abgesichert. Trotzdem kann es natürlich immer etwas geben,

Es ging mit in erster Linie darum, daß fremde software nun mal fremde software ist und Sicherheitslücken aufweisen kann (wie aber auch eigene software). Auch scheinbar einfache scripte bilden da keine Ausnahme.