Ярослав

1. 99.9% программистов жалуются на код, написанный его предшественниками.
2. 99.9% программистов жалуются на код wordpress
3. 99.9% программистов хотят все переписать по своему. И часто это самопис.

Конечно я утрирую. Но суть в том, что программисту все равно на риски чужого или почти чужого проекта. Он думает о коде. Его красоте, эстетичности, удобстве и т.д. НЕ доверяйте программистам, особенно молодым.

Взвести риски и траты. Послушайте аргументацию программиста. Вас должны интересовать конкретные проблемы. А не абстрактные заявления. В wordpress код сущий ад. Но в сети очень много сайтов на этом движке и с очень большой посещаемостью.

К тому же самопис вам точно не нужен. Его сопровождать никто не будет, кроме автора. Если решитесь, то используйте популярный фреймворк. Symfony, Yii, Laravel. Под них вы всегда сможете найти специалиста.

Если у вас нет проблем с производительностью, если вы не теряете прибыль, если не страдает скорость разработки, то точно думать о переписывании не стоит. Баги и недочеты есть в любом проекте и их нужно исправить.

Можно и дать.

Но полностью он не обезопасит вас от перебора. Лишь усложнить жизнь взломщику. Так как скорость хэширования будет дольше и в базе не будет одинаковых хэшей для одинаковых паролей. Что даст вам время на рекцию. Скажем залатать "дырку" и сбросить все пароли.

Суть в том, что к проблеме безопасности надо подходить комплексно. И степень концентрации должна зависить от самого приложения. К примеру, можно требовать от пользователей использовать сложные пароли (как, например, в AppleId), просить менять их раз в месяц или в два. А можно позволить использовать пароли от 3 символов. Тут все должен определять разработчик исходя из логики и рисков.

И вообще лучше не допускать утечек 8).

Фильтруйте и экранируйте данные. Защищайте сервер. Используйте prepared statement и будет вам счастье.