А чем дальше, тем проще. Если апдейт с 4.2 на 4.3 сильно затрагивал структуру БД и вообще ЦМСки (например, переносил данные из десятка таблиц в пару десятков новых таблиц, создавал новые таблицы на основе файлов картинок, переносил и переименовывал сами картинки, активно работал с фтп), то с 4.4 на 4.5 апдейт просто добавляет к таблицам 4.4 там поле, сям поле, тут пару табличек новых. Так как у нас структура более-менее устоялась уже.

Вообще, это правильно. Если цмс устраивает владельца по функциям, нечего ее трогать только для того, чтобы просто обновиться из принципа. У меня лично есть несколько проектов, один на 4.2, пара на 4.3, все работает, бОльшего от функционала не надо - и пусть себе работает! Чего заморачиваться, обновляться? Ради чего? :)

Хотя у нас есть пользователи, которые исправно раз в три дня обновляются автообновлением и раз в полгода переустанавливают минорную версию, хотя сайт просто текстовый информационный и тянется с 4.2! Спрашиваем "зачем?", отвечают "все устраивало, но из принципа, чтобы самое последнее было!"

А в чем проблема? Какой зловредный код? Какие именно файлы заражены?

У нас сейчас один клиент бьется тоже с вирусами, заражаются все РНР файлы, все до единого на площадке. Вхерачивается в самый верх код

Выясняем неделю уже. И пароли меняли, и код чистили... Пофиг, один день - снова все заражено. Выяснилось: на площадке несколько сайтов, один из сайтов на Джумле. И на этом сайте в /images/immage435.php и /images/sh.php сидел шелл, который злоумышленники и запускали. Шел заражал все сайты на площадке. Изначально шелл залили или через какую уязвимость в джумле или украв пароли от фтп. А потом уже дело техники... В общем, ищите шелл. И просите ТП хостинга логи доступов к зараженным файлам смотреть.

Техподдержка хостинга советует Я клиенту порекомендовал джумлу вообще снести с соседнего сайта. Пока тишина, уже несколько дней. Тьфу-тьфу

А это, какбэ, хороший хостинг должен сам помогать бороть. На ISP, например, вот и вот сотрудник техподдержке даже в своем блоге писал на эту тему. Там одна команда из командной строки на хостинге по удалению этого кода.

Начиная с 5.2 мы будем скрывать пароли к базе и фтп, забитые в параметры сайта, зведочками. Потому как пароль в админку оставляют 123:123 или admin:admin, заходишь, а там все как на ладони...

Отпишусь тут, чтобы народ не переживал, мне кое-что известно.
Да, кое-что косячное есть. Но во-первых, оно действительно в админке, для авторизованного администратора. Например, в админке модуля "Баннеры" можно загрузить JPG с РНР-кодом внутри и он исполнится, т.к. баннеры мы не обрабатываем, а даем админу грузить исходники. То есть, можно загрузить шелл через РНР в JPG через баннеры. Страшно это или нет, решайте сами, но я считаю, что если кто-то упёр название папки администрирования, логин и пароль админа и залогинился, то шелл можно закачать и через "Файловый менеджер", и не валять дурака с загрузкой инфицированных JPG.
Основной косяк был в том, что "Файловый менеджер" в нашей деме на нашем сервере отключен, т.е. шелл не загрузить. Но по схеме FLYNSTROOL-а это было можно сделать. Тут мы сами лохи: даем админский доступ к своему серверу.
Эту дыру у себя мы закрыли, конечно, кое-какие выводы сделаем и в коробку DIAFAN.CMS, так что спасибо FLYNSTROOL-у, что сообщил.
А всем пользователям DIAFAN.CMS мы как всегда рекомендуем делать сложные пароли, прятать папку админа и не записывать пин-код от банковской карты на ней же

Мы, кстати, поощрили энной суммой

Имейте ввиду, ломануть сервак могут и через другую популярную CMS ;)