現在のところ、ディレクトリ構成は、ここまで。
パスワード入力がadmin ディレクトリになっていますが、config.phpから、修正が可能にはなっています。
プログラム自体を変更する必要がありそうなので、実際問題アップデートごとに、そのような修正は困難そうなので、棚上げです
プラグインディレクトリをパブリックルート下に置かなければならない件は、プラグイン自体にjavascriptを含むものなどもあるので、退避は困難かもしれません。
脆弱性のあるプラグインを踏み台にされる事もありそうですが、プラグインを吟味しようというところまでで、こののエントリは終了します。
というか、プラグイン作っている人がほとんど見つけられない