В любом случае, принципиальная возможность заманить юзера на фейковую страницу и угнать аккаунт была - а теперь её нет.
Согласен, но как показывает практика атак не много на MODX, когда-то пробовали сломать мой сайт, но не хватило опыта, спасибо им. Что нашёл диру в своём коде.
Всё сайты что я поддерживаю, пробовали ломать как wp, и ещё какие-то мне непонятные. И то с Китая.