tak, każdy może to zrobić, znalazłem lukę wstrzyknięcia sql. zrzuciłem z nim login administratora i przesłałem powłokę przez galerię upload. możesz to naprawić, używając https/tls, aktualizując usługę mysql i naprawiając vuln wtrysku mysql. nie będę ponownie niszczyć tej strony. po prostu napraw to lol