Nur zur Klarstellung:
Wenn die Seite mit Passwort "test" hochgeladen wird, ist sie für Besucher voll zugänglich. Es kann sich aber niemand einloggen. Interessant und sicher für Admins, die grundsätzlich lokal arbeiten und die Inhalte dann per ftp hochladen.
Das Setup kann nur per ftp aktiviert werden, durch hochladen einer Datei setupControl.php per ftp. Ab diesem Augenblickk könnte aber auch ein Angreifer das Setup ausführen. Ist zwar unwahrscheinlich, aber theoretisch möglich.
Wenn aber der Admin das Setup ausgeführt hat, kann der Angreifer nichts mehr machen, denn am Ende des Setup wird die setupControl.php gelöscht, und Setup ist wieder inaktiv. Aber wie auch immer, ein paar Sekunden bleiben für einen Angriff.
Im Augenblick arbeite ich an einer Version, bei der das Setup eine config_setup.php erstellt und da das Passwort ändert. Das geht aber nur, wenn es noch keine config_setup.php gibt. Wenn ein Angreifer also schneller als der Admin ist, gibt es beim Versuch des Admin diese Datei schon, Setup bricht ab und fordert den Admin auf, diese Datei per ftp zu löschen und Setup noch einmal auszuführen.
Nach der erfolgreichen Setup-Vorbereitung muss man dann halt noch per ftp die config.php löschen und die config_setup.php umbenennen in config.php.
Man kommt einfach nicht daran vorbei:
Alles, was nach dem Upload dem Admin erlaubt wird, kann auch jemand anderes ausführen. Im Augenblick solange, bis das Passwort geändert wird. Dagegen kann man nur 2 Dinge tun:
1. Die Seite offline (lokal) vorbereiten. Nicht zumutbar für normale Anwender.
2. Die entscheidenden Schritte gehen nur per ftp. Leider unbequem ...