В версии 1.1.16 движка есть критический баг, из-за которого злоумышленник может получить доступ к чужим аккаунтам сайта. Подчеркиваю — баг именно в этой версии 1.1.16. Ни в предыдущих, ни в последующих версиях этого критичного бага нет.

Всем, у кого сайт работает на Alto CMS 1.1.16, нужно обязательно обновить движок!