Accesso selettivo

[Mr_Mind]

Salve a tutti.
Spero sia la sezione giusta per il mio problema.
Ho un sito in PHP con admin annesso (realizzato da terzi).
Da qualche giorno, compaiono strane news (una delle sezioni del sito).
L'admin è naturalmente ad accesso riservato con UI e PSW, ma ho notato che scrivendo direttamente la URL per la gestione delle news, si riesce cmq ad entrare e ad operare (inserire, cancellare, modificare contenuti).
Volevo sapere se:
1. è colpa di una non corretta gestione del sistema di autenticazione dell'admin;
2. è colpa del server che è stato bucato, ovvero qualcuno ha avuto accesso al DB e quindi ha carpito le credenziali.
Sapreste eventualmente aiutarmi?
Grazie!!!

[Habanero]

Se come utente non autenticato digiti l'url della pagina di amministrazione (ovviamente bisogna conoscerla o dedurla) ed entri nella zona ad accesso ristretto significa che l'area di amministrazione non è stata progettata a dovere. In particolare non viene gestita la sessione per l'utente autenticato.

Se l'url di amministrazione è facilmente deducibile è molto probabile che sia stata quella la porta di accesso.

La gestione della sessione fa parte delle norme elementari nella protezione delle pagine... se chi ti ha creato la pagina ha fatto quell'errore non escludo possano esserci anche altre falle di sicurezza.