Но самое интересное оказалось даже не в том, что он дырявый, а то, что на сайтах с этим движком, логин и пароль в админку был более чем банальный, так что можно было даже без дыр в админку попадать.

Да, мне тоже подались сайты на этом движке со слабыми логинами и паролями. Но замечу, что вначале ещё нужно угадать логин, а потом пароль, что значительно усложняет задачу (без наличия дыр приводящих к утечке логина). К примеру брутфорс пароля без знания логина (в форме где нужно ввести и логин и пароль) занятие не рациональное .

Так что без изначального знания логина, надеятся на слабый логин у которого будет слабый пароль особо не приходится (такое случается крайне редко - но зато имело место на нескольких сайтах на этом движке). Поэтому другие дыры также нужны (для получения доступа в админку). И замечу, что Weak Password - это тоже дыра (о которой я упоминаю в своих отчётах по секюрити аудиту), так что для попадания в админку дыры всё же нужны.

Вообще тема паролей по-моему, скоро побьет даже лидеров, скули и xss

Без сомнения тема паролей будет всегда актуальной и со временем она будет более часто подниматься в Сети (в связи с секюрити инцидентами), но лидеров она не побьёт. И хотя слабые пароли встречаются часто, но на эту тему просто недостаточно обращают внимания. А текущие лидеры достаточно раскручены и на них и в дальнейшем будут обращать больше внимания.

на этом движке более 300 сайтов

На данном украинском движке нет стольких сайтов. Ты перепутал с русским движком с похожим названием. Об этом я уже писал в комментариях к вышеупомянутому посту. Люди слышали о русском конструкторе сайтов SiteLogic, но не слышали об украинской CMS SiteLogic, поэтому и путают.

Ранее я провёл исследование и выявил 29 сайов в Уанете на данном движке (включая сайт разработчиков).