Les dejo de nuevo otro documento que preparé, hablando sobre algo que posiblemente ya sepan que no se debe de hacer, como es publicar la carpeta Moodledata... el tema es que sin ser esta carpeta pública, una inyección SQL con un load_file o simplemente leyendo las columnas de mdl.users, se pueden comprometer las contraseñas con facilidad pues el cifrado es MD5.
http://www.enelpc.com/2011/10/admin-generosos-sessions-hash-cracking.html
Un Saludo!