Abbiamo diversi siti Web che si rivolgono a clienti di una grande azienda. Questi siti Web raccolgono informazioni sui clienti. Sono stati scritti 6-7 anni fa, probabilmente usando un generatore di codice PHP / mysql. Non è stato toccato da allora. Il codice offre funzionalità CMS molto semplici: inserisce alcuni elementi di campo in un modello.
Senza essere in grado di controllare il codice o accedere direttamente ai siti (ho visto demo) mi viene chiesto di stimare le vulnerabilità della sicurezza del sito e quanto tempo ci vorrebbe per ricostruire. Gestisco il gruppo OPS Web per il mio settore e questo è un altro settore, quindi ci sono alcuni problemi politici nel modo. Ho la mia opinione su possibili problemi, ma mi piacerebbe sentire anche gli altri.
Il server è LINUX con apache 2. Esecuzione di versioni precedenti di PHP e mysql. I clienti sono costretti a compilare un modulo per vedere il contenuto, quindi stiamo memorizzando un gruppo di informazioni sul client in chiaro sul sito. Le password non sono salate e nemmeno sicuramente hash. Fammi sapere se c'è qualcosa che posso aggiungere per migliorare la domanda.