То есть ЛЮБОЙ человек может сбросить ЛЮБОЙ пароль, лишь бы знать логин
Нет, не любой. Система проверила логин, он принадлежит пользователю с правами администратора. Это раз. Второе - на сайте включена отладка SMTP (debugsmtp), поэтому «на странице побежали строки ,как от выполнения скрипта». Простому пользователю ничего не будет видно. Но debugsmtp следует выключить, это нужно только для одноразовой проверки работоспособности отправки почты.
И вообще это странно, у меня никакие строки нигде не бегут при восстановлении пароля админа со всеми включенными отладками Может у вас «чужой» завелся?
Правда Мудл версии 3.4, может в 3.2 что-то и неверно работает. На баг-трекере не искали?