Nell'attesa di una risposta, intanto studio.
Ho letto su un blog, credo americano, che Wordpress archivia le proprie password in formato MD5 (che fino ad ora ignoravo francamente) e con un semplice passaggio, con un convertitore da Ascii a MD5, si ottiene una stringa da immettere banalmente in un motore di ricerca. Da lì, escono fuori gli archivi di password da crackare.
Non so se il "nostro" abbia seguito questa strada, ma effettivamente se è così, non c'è protezione!