Никто не сталкивался со спамерами?
Проблемма в том, что если набрать любую ссылку из админки и после нее поставить /login.php
на пример
/admin/mail.php/login.php
то функции этого файла становятся доступны без логина.
В частности mail.php/login.php отправляет по базе вашего магазина почту.
Ордер - показывает все Ваши закзы и т.д.
Кто как боролся?