Como te decía lo de la ip esta bueno como método adicional.

A ver si entiendo un poco:
La contraseña está encriptada(mediante un hash) en la base de datos, no?
No envias por GET los datos del login, o si?

En cuanto a la contraseña, no solo es importante asegurar el login, sino todo tu sitio ya que pueden estar inyectando SQL por alguna otra parte y de esa forma te robaron la contraseña. Lo importante es que cada vez que se puede ingresar un dato, lo valides para que no puedan ingresar nada raro por ahi.

Tene en cuenta de cambiar la contraseña tanto de la base de datos y del login por el momento para asegurarte por ahora.

PD: Se dice hash, no has.