Non ho notato particolari bug tranne un codice pessimo con molti pezzi inutili
come hai verificato che ti hanno violato il sito? Hai dato le credenziali a qualcun'altro?

Il bug potrebbe benissimo non riguardare il pannello ma il resto della struttura
ad esempio anche una semplice variabile get che interagisce col db non coperta
da sql injection può far esportare l'intero database e in tal modo sapere i dati di
accesso immediatamente dato che non usi nemmeno un algoritmo per criptare la password
come l'md5,sha1...etc..