Wenn jemand Hilfe braucht kann er sich gerne bei uns melden!

Mir ist nicht so ganz klar wofür das ganze eigentlich gut sein soll und was man als Entwickler davon haben soll (nein, der Schlüssel kann es nicht sein, warum wisst ihr hoffentlich selbst).
Ich kann allerdings nur *dringend* davon abraten das Tool zu installieren, bei sowas:
krempelt es einem die Fußnägel hoch. Und nein, ein Vergleich der IP ersetzt keinen Login per Passwort! So Dinge wie falsche Kodierung, defekter HTML-Code oder nicht vorhandene Dokumentation sind da auch schon egal …

Hallo, tk1234.

Wir verstehen nicht wo sich bei deiner genannten PHP-Stelle ein Fehler befinden soll.
Diese Seite ist nur für angemeldete Benutzer aufrufbar und stellt nach unserer
Einordnung kein Sicherheitsrisiko dar. Jedoch nehmen wir die anderen Punkte wir fehlende
Dokumentation oder falsche Kodierung sehr ernst. Wir freuen uns immer über konstruktive Kritik
und sind schon dabei so viele Fehler wie möglich zu lösen. Wir würden uns sehr über eine Antwort
freuen in der du uns einmal sagst wo HTML-Code defekt ist. Aufgrund der Coronakriese können wir derzeit
nicht ins Büro und arbeiten im Homeoffice. Das erschwert die Zusammenarbeit etwas. Wir sind aber zuversichtlich
das wir deine Probleme lösen können!

Schönen Tag der Arbeit! Dein Clemensius Team!

Dann habt ihr das falsch eingeordnet. Es ist eine Leichtigkeit von außen einen Link mit GET-Parametern in einem Browser einzuschleusen.

Einfach immer die Eingaben und Kontextwechsel korrekt behandeln, dann gibts auch keine Probleme. Ist auch wesentlich einfacher also bei jedem Einzelfall zu überlegen, ob es jetzt "notwendig" ist oder nicht. Einfach immer machen. Spart Zeit und reduziert die Fehleranfälligkeit.

Wie hellbringer schon schrieb ist eure Einordnung falsch. Gefährlich falsch! Was passiert wohl wenn du die Seite mit ?file=../config.php aufrufst? Richtig, die Einstellungsdatei ist weg.
Die Seite ist nicht nur für angemeldete Benutzer aufrufbar sondern für jeden der die IP hat die in der der config.php steht. Die kann sich ändern und es können auch mehrere User die gleiche haben. Ich habe nach außen nur eine IPv6, die IPv4 wird vom Provider simuliert o.ä. (frag mich nicht wie das genau funktioniert), ich würde also nicht ausschließen dass es noch mehr Leute gibt die die gleiche IPv4 haben wie ich. Sicher ist es auf keinen Fall das so zu lösen, ihr solltet unbedingt auf Passwort umstellen!
Aber selbst wenn der "Schutz" sicher wäre: die gefährlichsten Angriffe kommen von innen. Daten von außen musst du *immer* prüfen/behandeln, traue niemandem!

zum Thema falsche Kodierung: wenn man überall konsequent UTF-8 verwendet kann man sich die Verstümmelung von Umlauten (und sonstigen Zeichen wie ») sparen.

Dann gleich mal noch ein paar Dinge (neben dem was sonst in diesem Posting steht):
- warum schließt ihr den PHP-Bereich ständig um ihn zwei leere Zeilen weiter unten wieder zu öffnen? Dadurch werden euch die header-Aufrufe am Ende der upload.php um die Ohren fliegen. Generell solltet ihr ?> garnicht verwenden, auch nicht am Dateiende (außer es soll HTML ausgegeben werden natürlich)
- <?php echo $cwptest_vtxt;?> geht auch kürzer: <?=$cwptest_vtxt?>
- das Verarbeiten der Daten sowie deren Ausgabe ist alles wild durcheinander. Erst erhaltene Daten holen, dann diese Verarbeiten bzw. auszugebende Sachen holen und erst dann alles ausgeben ->EVA-Prinzip
- wilde Mischung aus deutsch und englisch im Code (auch die Kommentare). Zum Teil sieht es etwas zusammenkopiert aus …
- wieso die Krücke mit den .sphp-Dateien auf eurem Server? Man kann durchaus auch Dateien auf .php direkt ausliefern oder auch einfach ein Script aufrufen und ihm die auszuliefernde Datei übergeben (Vorsicht, dafür sorgen dass nicht alles ausgeliefert werden kann!)
- in der update.php werden zweimal direkt hintereinander config.php und cwpstorage.php eingebunden sowie die Version von eurem Server geholt, warum?
- die Methode des Updates ist wenig sinnvoll: ein Update sollte Einstellungen nicht anfassen, ihr überschreibt die einfach.
- das mit der Lizenz in der settings.php ist nicht euer ernst, oder?
​​​​​- die cwpfull.php verweist im Kommentar am Seitenanfang auf die Nutzungsbedingungen unter https://clemensius.de/legal - dort steht aber nichts …

Der Validator ist da immer hilfreich. Es sind aber weniger die dort angezeigten Fehler sondern eher das was semantisch falsch ist (z.T. aus euer Seite, z.T. aus CWP):
- akute Divitis (extensive Verwendung von <div>) was wohl teilweise Bootstrap geschuldet ist - trotzdem wären einige Elemente gerne z.B. <main> oder <section>. Und vergiss dass es <center> gibt. Dafür gibt es text-align und das sollte auch sehr sparsam eingesetzt werden, eure Datenschutzerklärung ist so ziemlich unlesbar.
- <html lang="en"> obwohl der Inhalt auf deutsch ist
- <br> statt margin/padding
- Layouttabellen (das Loginformular)
- fehlende label-Elemente (nein, das placeholder-Attribut ersetzt kein label!)
- inline-Stylesheets
- vergiss input-type=submit, verwende button. Meist macht ihr das, aber z.B. in der settings.php nicht
- px als Einheit für die Schriftgröße (vergiss dass es das gibt und verwende em o.ä.)
- Überschriften sollten nicht so verwendet werden wie sie von der Größer her "passen" sondern der Reihen nach (h1->h2->h3 usw.)
- vergiss dass es target=_blank gibt und überlass dem User ob er einen Link in einem neuen Fenster öffnen möchte oder nicht
- materialdesignicons.min.css wird doppelt eingebunden; generell finde ich es auch nicht gut dass da 5 externe Sachen nachgeladen werden, ich würde das was wirklich(!) nötig ist mitliefern, Bootstrap ist bei einer so einfachen Seite imho eigentlich nicht notwendig
- <a href="?delete=true&file=..."> ist falsch, das & muss als &amp; maskiert werden

Eine Versionsverwaltung (git oder auch andere) sollte das eigentlich deutlich vereinfachen (die solltet ihr aber auch im Büro haben).

Was du allerdings nicht beantwortet hast: wofür ist das ganze jetzt eigentlich gut?