不同意楼主的观点

1.官方放的待升级文件首先是经过严格的测试后才放到服务器上,而服务器上的文件也是严格设置权限,只能读不允许修改,一般的webshell是改不了这些文件

2.用户要获取是否有最新文件,首先要访问官方的version.xml文件并且用户已开启自动升级功能,而不是访问其它任何文件都可以修改.另外每次要更新的文件个数也是严格控制,而不是像你说的想改什么就改什么,再者只有你在后台确认在线升级了，才会启作用，否则只是检测有没有新版本，并不会替换！

3.这个功能可以让用户第一时间知道有哪些最新补丁.有什么不好的呢?就拿上次的漏洞补丁,如果用户能及时的打上补丁.我想也不至于会被挂马.

4.官方已完全为不想在线升级的用户预留的是否在线升级的设置,具体打开admin/ks.update.asp就一目了然

'是否允许自动检测最新版本 true 允许 false 不允许
const EnabledAutoUpdate=true

综上分析不想在线升级的用户大致如下:

1.对系统经过二次开发

2.给客户做网站,怕让用户知道用的是科汛系统(这样的人我是最BS的),你为用户做了站,收了用户的钱理当应该保证用户网站安全,我们经常接到类似"这样的电话.我们网站请了某某人开发,现在出现问题了.原来做网站的人找不到了"

除了以上两类人,我暂时还真想不出有什么理由拒绝在线升级,官方后台及时信息的理由了,目前我知道的部分web产品中,也有部分是提供在线升级功能的，难道都是错误的? 如果你怕的是安全问题,请按我上面说的第4点把在线升级功能关闭掉,而如果你是我上面分析的第二种人,我再次bs你。

另外上面你说到的官方在index.asp放了统计,这个仅仅是统计作用,你查看源文件都可以看到放的是cnzz的统计器,难道官方免费开放源代码给大家用,连知道到底有多少个用户在使用的权利都没有吗?盲目的开发,连有用户在使用没有都不清楚,有何意义?我还想不出其它同行CMS是怎样统计用户的.难道其它开发商就不会这样做吗?他们所说有几十万用户,难道就是凭空说出来的?

以上纯属我一人观点,欢迎拍砖!