Noch ein Tip: In jedem Addon nachschauen ob jede Usereingabe (alles was mit $_POST oder $_GET an das Script übergeben wird) auch ordentlich gesichert ist.
Jede ungesicherte Usereingabe ist ein Angriffspunkt von dem aus man auf die Datenbank zugreifen kann. Da das Admin Passwort als Klartext in der Datenbank steht (zumindest in den mir bekannten Versionen) kann man das als User auslesen und hat dann freien Zugang ....