Nada mas que recuerda que de cualquier forma, si tienen acceso al código, igual le quitan la validación o determinan el algoritmo de la misma.

Lo que quizá te sirva más es que tus librerías vitales para el CMS las mantengas en tu servidor externo al que solamente tú tengas acceso, y hagas los "includes" o "requires" directamente del servidor externo.

Claro que eso puede hacer un poco más lento todo ya que se estarán realizando las llamadas externas; así que tienes que buscar un buen balance entre el costo-beneficio (costo: performance; beneficio: seguridad).

Definitivamente tienes que hacer tus pruebas de tiempos de respuesta.


Ahhh.. ya se me ocurrió algo! - haz que tus scripts requieran un dato que solamente pueden obtener del servidor externo, pero que lo soliciten solamente si no existen ya en una variable de sesión; es decir, si el dato ya está en la sesión pues ya no se solicita.

Creo que eso puede funcionar muy bien! - no olvides validar contingencias, por ej, ¿qué va a pasar cuando el "servidor de licencias" no esté disponible?

Pero de nuevo, no olvides que teniendo el script en sus manos, un buen programador puede desactivar la validación... ahí es donde tienes que considerar la ofuscación del código.