каким может быть подход? обновляться нужно чаще, вот и весь подход...

Если есть возможность отдать файлы другому пользователю (например root), то имеет смысл это сделать. Оставив права для записи в папку для хранения загружаемых файлов (files) и в папку, где лежат модули (хотя если все необходимые модули установлены - можно тоже убрать). Если нет возможности отдать другому пользователю, то хотя бы установить права только для чтения для файлов.

Неудобство: при апдейте движка или модулей нужно будет установить права на запись обратно. Плюс: если взломан скрипт и получены права на запись файлов - будет невозможно переписать индексную страницу и испортить сайт (если права для чтения у пользователя под которым исполняется скрипт - то может быть остановит скрипт взломщика (если ломают скриптом через известную уязвимость, не анализируя реальной ситуации на хосте), самого взломщика это не задержит.

Более параноидальный вариант: убрать доступ к правам пользователя в БД - убрать всё кроме SELECT/INSERT/UPDATE/DELETE/LOCK/INDEX. Минус: при обновлениях надо выставлять права для пользователя обратно, также некоторые модули (CCK например) требуют прав CREATE при создании новых типов данных.

И разумеется следить за обновлениями движка и регулярно их устанавливать. Остальные меры защиты - это уже уровень системного окружения: настройка PHP, настройка ОС и СУБД.

--
Администратор сайта «Drupal — Россия»
на вопросы по Drupal отвечаю только на форумах, не пишите в почту и приватом!

> Но как правило релизы, что имеют защиту от найденного бага(ов) это бета/разработченские билды
Не совсем верно для Drupal. На данный момент версия 5 заморожена и если в ней будет найдена уязвимость, номер измениться на 5.2 и на неё можно смело (и даже нужно) обновляться. И это не "бета/разработченский билд".

> Тоесть дневные блилды не будут содержать обновлений/фиксов?
Дневные билды, они вроде только для версии HEAD. И все фиксы туда должны входить.
Могу ошибвться. Поправьте.