По поводу доступности PHP конечно круто. Написали-налабали, но забыли о простой вещи - качество кода и получили "дырявый" продукт с кучей уязвимостей. На достаточно больших проектах убрать их вручную практически невозможно.
Многие используют бесплатные сканеры, денег на хорошие решения жалеют. О SDLC слышали но боятся. Остаются дыры для взлома...
Далее, народ часто использует стандартные библиотеки, которые тоже имеют свои уязвимости и которые, в свою очередь, тоже обновляются. Но эти обновления мало кто контролирует.
Это так.. один из аспектов применения языка
