Falls ich hier einhaken darf...
Ich habe zum Schutz der GWS Shows ganz nach dem Prinzip "quick & dirty" ein Passwort Schutz per .htaccess vorgeschaltet. Damit kommen nur noch Leute ran, die die betreffenden Logindaten dafür haben. Dafür musst du halt nix an der Software schreiben, da das direkt nur ein Schutz für den Ordner auf dem Server ist.
Wenn du nun also beim PHPCake auf Granit beissen tust (ist das Jizz nicht auch auf nen uralt Cake aufgebaut?), wäre das da nicht auch ne schnelle Lösung für dich, damit du dann in Ruhe einer anderen Umsetzung per Login und ACL arbeiten kannst? Bräuchtest im Grunde auch nur einen internen User, pack die Logindaten in euren internen Discord und pinne den Post an. Zur Not schickt die Daten per E-Mail rum, wenn es User gibt, die nicht Discord nutzen.
Da ich aber bei euch im System nicht drin bin, kann ich nicht beurteilen, ob das eine brauchbare Lösung ist. Wollte es nur in den Raum geworfen haben.
Würde zudem empfehlen, sämtliche Entwicklung an einer lokalen Kopie auf deinem Rechner über XAMPP o.ä. zu machen. An einem Livesystem, wo auch noch andere Menschen dran arbeiten, rumwerkeln, halte ich für eine wenig gute Idee. (sprich: richtig schlechte Idee ^^) Just my 2 cents...