Защита одна - использовать только шаблоны html.

У адмов web движков вообще не стоит такой проблемы, если даже и будет компроментация, то живо вычисляется и латается. Главное оперативно выдернуть шнур питания сервера, что-бы сохранились логи.

Гостевая есть, чат вроде бы тоже. За столько лет существования сложно сказать чего нету, то что есть - сложно перечислить.

Galeon, Ну вроде dcms и его аналоги ещё не взломали. Бэкапы делай и спи спокойно, любой взлом только на пользу.

Регистрации и авторизации достаточно для взлома если двиг забгован и доступен к оборзению обозрению.