Kig på OWASP.
#3 - de fleste mindre sider bruger forhåbentlig en ekstern betalingsløsning, hvorved det meste kan undgås? (og ja, jeg er klar over at svaret er at alting kan gøres forkert :-) ).
Det her link gennemgår meget fint en stak for 2018 (
https://www.greycampus.com[...] ):
Features som
Injection
Broken Authorization
Sensitive Data exposure
Unpatched systems.
Men bemærk også:
"10. Insufficient logging and monitoring" - undervurder ikke evnen til at opdage at det er gået galt SELV.
--