ну можно принудительно всем пароли сбросить и заставить задать новые. было бы желание.

угу...
md5(md5(pass).salt)
соль лежит в таблице, генерируется автоматически, для каждого юзера своя
для этой версии соль три символа

на что полюбоваться? там была ссылка, в посте?

актуальная 4ка - 4.2.5

не знаю, не читала... рекомендуете?
но сути это не меняет
чтобы был произведен персональный взлом, за это кто-то должен заплатить
по состоянию на сейчас здесь нет уязвимых плагинов, поэтому взлом по видеоурокам невозможен
а если вдруг есть какая-то уязвимость на уровне хостерского ПО, то будет слита база целиком

и что?

А когда юзер логинется, ему отдается его соль, что бы он с ее помощью захешировал пароль?:)


Если по радужным таблицам хеш резолвится в пароль за одну секунду - то никакой соли там не было. Вот что.