パスワード入力がadmin ディレクトリになっていますが、config.phpから、修正が可能にはなっています。

プログラム自体を変更する必要がありそうなので、実際問題アップデートごとに、そのような修正は困難そうなので、棚上げです

プラグインディレクトリをパブリックルート下に置かなければならない件は、プラグイン自体にjavascriptを含むものなどもあるので、退避は困難かもしれません。

脆弱性のあるプラグインを踏み台にされる事もありそうですが、プラグインを吟味しようというところまでで、こののエントリは終了します。

というか、プラグイン作っている人がほとんど見つけられない