Кстати, про плагин я не подумал, авторизация любого пользователя изнутри вообще возможна, по сути вызов com-users => user.login, передача ему через $_POST соответствующих параметров. Надо будет подумать над этим.
Вообще, это праздный вопрос. С целью защиты этого быть вообще не должно. но увидел - любопытно стало.