кража движка - какие существуют способы

Не знал в какой теме начать, так как я тут совсем новенький и возможно вопрос мой покажется многим нубским, по сему пишу тут.
Может кто описать возможные способы кражи движка сайта?
С чего обычно начинают подобные вредители? Реально ли просканить все пути сайта? Узнать права на папки будучи обычным посетителем и даже не имея доступу к серверу (к примеру на хостинге можно шариться по чужим соседним директориям, правда только читать - это я проходил уже)
Что стоит почитать, на какой софт посмотреть
Озадачен этим, так как у одного знакомого "утек" сайт. Необходимы превентивные меры на этом Диком Западе. Извините за сумбур, глаза слипаются, клюю клавиатуру носом

 

самое банальное:
xss, sqlinj, lfi. Но раз ты заинтересовался софтом, то видимо не просто предотвращаться то собрался...
Советую как всем, кто не знает "создай двиг с админкой", потом уже лезь куда-то.

 

Пути посканить - DirBuster
Порты - Nmap
Уязвимости на сайте - XSpider, Acunetix Web Vulnerability Scanner

Ещё можно посмотреть access_log, там может быть что-нибудь интересное на тему как слили сайт.
А так способов тьма.