Für die Sicherheit benutze ich das Konzept „Security by design“ und als Designkonzept „Mobile first“. Würde man diese Konzepte nicht nutzen, kann die nachträgliche Änderung viel unnötige Zeit (und Geld) kosten.
Gegen das Mitlesen (und Manipulieren) während der Übermittlung wird die Transportverschlüssellung (SSL / https) eingesetzt. Es gibt einige Dienste, die kostenlose Zertifikate ausstellen. Mein Provider stellt mir schon ein Zertifikat zur Verfügung. Die zusätzliche Sicherung durch Zertifikatpinning ist nicht notwendig.
Gegen das Einschleusen von Schadcode und Wandalismuss muss der Zugang zum Backend des CMS geschütz werden. Das Passwort als Schutz ist gegen Brute-Force-Angriff nicht hinreichend sicher genug. Vor die Admin-Seite wird mit .htaccess und .htpasswd der Webserver angewiesen eine weitere User-Passwort-Kombination abzufragen. Zum Schluss wird eine Zweifaktor-Authentifizierung als PlugIn nachgerüstet.