Desde mi punto de vista, no hay ciencia para evitar que un hacker consiga penetrar un sistema de usuarios o lo que sea.
Si queremos evitar que un hacker lea sus datos, el mejor metodo es que no los pueda ver (no sean visibles), y el otro es que para cualquier cambio de e-mail o contraseña se envie una confirmacion por e-mail.

De esta forma podemos evitar que el hacker pueda ver los datos de la persona o que cambie la contraseña.

Pero aun pueden hacer algo mas, si nuestro servidor no esta en PHP SEGURO pueden coger nuestras contraseñas de base de datos y meterse tan tranquilos.
Para eso, la cuenta de usuario utilizada deberia ser tan solo de leer o en todo caso, pedir al administrador del servidor que pasara a PHP SEGURO.

Saludos!