Es ist tatsächlich so, daß ein CMS selbst das Sicherheitsproblem darstellen kann. Aber nicht das CMS an sich sondern nur die Komponenten die Inhalte auf dem Remotesystem anlegen, verändern, löschen usw. In WP gibt es sehr viele solche Komponenten aber das nur mal so nebenbei.

Es gibt CMS die legen Inhalte lokal an und nutzen FTP zum publizieren. FTP ist unsicher weil keine Verschlüsselung stattfindet. Man nehme SCP oder sFTP und schon ist das Problem gelöst und siehe da, mit dem CMS hat das gar nichts zu tun.

Eine Aussage wie nicht machen ist zu pauschal. Jeder Entwickler kocht auch nur mit Wasser und wer aus seinen Fehlern lernen kann darf auch welche machen.

Und mit HTTP verhält es sich genauso wie mit FTP: Ja, man kann auch verschlüsselt übertragen.

Wenn die Frage der Verschlüsselung nun klar sein sollte, kommt als nächstes die Frage des Vertrauens: Wem gebe ich einen Zugang, welche Person/Gruppe darf Inhalte anlegen!? Und siehe da, auch diese Antwort hat mit einem CMS gar nichts zu tun.

MFG