В черновиках блога все еще висит, со статистикой. Но нужен вселенский мотиватор, чтобы ее закончить. В любом случае - дам знать сообществу о ее публикации.
Относительно OpenCart, точкой проникновения на сервер служат, в основном (79.3%), административные разделы магазинов и FTP, это происходит из-за компрометации паролей администраторов (тут одно из двух, либо исполнители, либо брутфорс). Через админку шелл можно залить несколькими способами, кол-во вариантов заливки шелла зависит от набора установленных модулей. Варез занимает второе место (12.1%). Уязвимости в движке и модулях (~5%), но тут постараться надо, чтобы "уязвимость в модуль вставить". у OpenCart есть своеобразный архитектурный щит, который не позволяет писать кривые модули. Все остальное приходится на уязвимости ядра или пакетов сервера.
Т.е. типичные ошибки это простые пароли, доверие к подрядчикам с сомнительной репутацией или без нее и отсутствие системы слежения за изменениями в файлах, такой как FSMonitor, которые, позволяют быть в курсе изменений в файлах сайта.