Николай Савин

Вот тут собрана вся информация modx.pro/about

Алексей скромничает, он за эту неделю довольно много работы выполнил, закрыв большинство известных нам багов. Мы с @Иван Бочкарев от лица сообщества выплатили Алексею скромные 10 000 рублей вознаграждения из фонда, накопленного за счет ваших пожертвований друзья!

То, что ты нашел в принципе актуально. Так и делают.
Попробуй вот такой конфиг

server {
    listen 80;
    server_name example.com www.example.com;
    root /home/sites/example.com;
    index index.php;
    client_max_body_size 30M;
    
    # Новый блок для статических файлов с кешированием
    location ~* \.(jpg|jpeg|gif|png|svg|ico|pdf|mp4|webm|ogg|mp3|wav|ttf|otf|woff|woff2|eot)$ {
        # Срок действия кеша в браузере (аналог Expires в Apache)
        expires 1M; # access plus 1 month
        
        # Заголовок для указания, что кеш публичный (аналог Header append Cache-Control "public")
        add_header Cache-Control "public";
    }

    # Отдельный блок для CSS, JS (у них у вас срок больше)
    location ~* \.(css|js)$ {
        expires 2M; # access plus 2 months
        add_header Cache-Control "public";
    }

    location / {
        root /home/sites/example.com;
        if (!-e $request_filename) {
            rewrite ^/(.*)$ /index.php?q=$1 last;
        }
    }
    
    location ~ \.php$ {
        try_files $uri =404;
        fastcgi_split_path_info ^(.+\.php)(.*)$;
        fastcgi_pass   127.0.0.1:9000;
        fastcgi_index  index.php;
        fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        include fastcgi_params;
        fastcgi_ignore_client_abort on;
        fastcgi_param  SERVER_NAME $http_host;
    }

    # Правило для запрета доступа к файлам Apache
    location ~ /\.ht {
        deny  all;
    }
}

Ну наверное внутри не было компонентов с использованием автозагрузки, это вполне возможно.
Тогда PHP внутри пофиг откуда загружать код.

Вынос каталога core за пределы публичной части в MODX3 запрещен, из за особенностей работы Composer

Так миниатюры создает не компонент, а подключенная библиотека Glide 3.0.1 — Она либо поддерживает работу с PDF, либо нет (я не смотрел)
Соответственно автор может только своевременно обновлять либу, и никак не в силах предсказывать ее дальнейшее развитие

К утру ждем компонент для двоечки

Иван, а чего не пользуешься докой сообщества? Принципиально у себя размещаешь?

Может и для двоечки устроим праздник?

Основана на лучшей из существующих PHP библиотек (насколько я знаю) Intervention Image — за это прям мое почтение. Почти наверняка будут вопросы — а почему бы не использовать уже встроенную в MODX либу phpthumb, зачем на ровном месте тащить что-то другое. Таков современный мир — микросервисы решают.

Ну держать весь код проекта (за исключением gitignore) в гите как будто промышленный стандарт. Я давно не видел не одного серьезного проекта, который бы работал как-то по другому.

Искренне не понимаю, что мешает сделать тоже самое через git status, и если будет получен непустой ответ — отправить письмо админу с содержанием ответа.

ну какие молодцы. Научились докером пользоваться.

Здравствуйте. Способов взлома существует множество. И кстати можно войти в админку так, чтобы записи об этом не было.
Перечислю варианты
— Обиженный вами программист скрыто вошел и сделал плохое. Это можно сделать даже без пароля или с отключенной учетной записью (если он спец)
— Сайт старый. Есть дыры безопасности. Обновляться до свежих версий очень важно. Можно обновляться сразу до последней 2.8.*
— Встречаются компонент с дырами, на моей памяти Gallery был таким. Компоненты желательно обновлять до свежий версий.
— Бывают проблемные хостинги, которые не изолируют сайты и пропускают заразу от соседних сайтов.
— Бывает и собственная неаккуратность админов и менеджеров.

Итого. Обновите MODX. Обновите компоненты. Напишите какой у вас хостинг, может чего подскажем.
Есть антивирусы для сайтов. Часто встроены в вашу хостинг панель. Проверьте на вирусы. Это минимум.

Ну и если очень важный проект — лучше заказать обследование его на безопасность.

Эх хорошо ответил. Лев Толстой бы лучше не написал

Пишется небольшой сниппет, который получает список «непустых» категорий. Перечень ID кладем в плейсхолдер.
Запускаем сниппет ДО вызова pdoMenu
В pdoMenu — дописываем параметр resources и вставляем в него плейсхолдер из шага выше

Максим, вопросы нужно задавать в разделе вопросы, а не забивать в одно лицо комментами новостную публикацию. Если тебе так проще заведи заметку «Осваиваю MS3 c нуля» и веди там свой блог.

Перенес в готовые решения

Они свой сервер защищать хотят видимо

Hello @Henk Everts
Nice to meet you. Thanks for the translate. It is awesome.