[SimonP]

Lite snabba tips:

-Administratörer & Moderatorer behöver lära sig använda bättre lösenord
-Spara aldrig lösenord i klartext, använd alltid envägsfunktioner som t.ex MD5/SHA1 + en slumpmässig salt, där salten är olika för varje användare.
-Sessioner bör vara IP-kontrollerade, ifall en ny IP-adress plötsligt använder ett befintligt sessionsid skall användaren tvingas logga in igen, för Administratörs-konton är detta mkt viktigt.
-Uppdatera alltid webmiljön med dom senaste säkerhetspatcharna

Sen finns det naturligtvis en massa annat som man också bör tänka på, men ovanstående hade förhindrat flera av dom attacker som varit.

När man skyddar datorer, hemsidor etc. tycker jag att man bör utgå ifrån värsta scenariot, dvs att attackeraren har stulit hela datorn/databasen, sen börja jobba därifrån.