Hay dos cosas ciertas en estos últimos post y son las siguientes:

1- Que ni aunque fueras el mejor programador tu codificación estaría 100% segura de bugs y vulnerabilidades de seguridad.

2- Los servicios de actualización (específicamente hablando de este tema) a los clientes se les debe de cobrar extra, a como dijo Metacortex.

Quiero comentar además que la seguridad es un trabajo constante, pues no existe la fórmula mágica para mantener un sitio realmente seguro y estable. Existen los errores, existen las inestabilidades de sistemas, las bases de datos tienden a colapsar de vez en cuando dando errores, etc.; y para eso es necesario estar "pendiente".

Realmente sí tendrás que estar actualizando toda la vida (unas veces más que otras) si quieres mantener un sitio seguro y estable. El trabajo generado, tiempo invertido, dolores de cabeza, etc. pues desquítalo de un cobro estimado al cliente. Es cosa del cliente si no quiere pagar por un servicio de actualización y seguridad. No te sientas afectado por si un cliente tiene su sitio desactualizado y en sus prioridades no está el actualizarlo.