Предупреждение о безопасности.

Что нужно чётко осознавать.

В простой ситуации, когда у сайта единственный администратор, всё элементарно. Этот администратор имеет полную власть над сайтом, и творит там, что пожелает.

Многочисленность администраторов - тоже вроде бы хорошее дело.
Из предыдущего документа следует, что их легко создавать.
Да ещё и с некоторым разграничением полномочий.

Однако следует предельно чётко понимать: если человек имеет возможность запустить на сайте всего лишь один оператор на PHP, то он имеет полную власть и над всем сайтом. Любые методики взлома сайтов как раз и основываются на том, чтобы через какой-нибудь совершенно неочевидный изврат заселить на сайт этот самый оператор PHP.

В случае Нано-CMS никаких извратов даже и не нужно.
Документы движка изначально поддерживают любые PHP инструкции.
Достаточно их там написать.

Поэтому, если Вы в качестве администратора (с правами редактирования документов, естественно) держите человека, желающего Вам навредить, он это легко сделает. Как только почитает пару часиков учебник по PHP.

Посему воспринимайте сам движок правильно.
Он для работы в команде, где всё как у мушкетёров.
А вовсе не для аутсорса, когда скучная работа делегируется неведомо кому.

Оно, конечно, можно написать редактор админки так, чтобы PHP инструкции через него не передавались. Но движков сайта с подобным функционалом многие тысячи, и автор Наны не стал бы тратить ни минуты своего времени на порождение ещё одного такого же. Нужен движок с голым HTML в документах - ну так пойдите и скачайте любой из них.

А красненькие буковки запомните.