Daniele,
da tecnico (informatico, programmatore web), non sarei così sicuro sul fatto che ci sia stata una violazione frutto di azione "voluta e premeditata". A meno di avere prove certe di attività illecite, altrimenti si rischia l'effetto boomerang... e potrebbe risultare altrettanto grave lasciarsi andare a processi sommari
La gestione dei permessi, per come la conosci e la utilizzi in questo sistema, è un insieme di funzionalità che permettono a utenti singoli o a gruppo di compiere determinate azioni, di per se potrebbe non aver nulla a che fare con quanto accaduto. Insisto volutamente nell'uso del condizionale
per poter fare operazioni di "autopromozione" o si ha accesso al database direttamente, oppure bisogna conoscere le credeziali di un amministratore per poter compiere modifiche di rilievo
a volte, anzi più spesso di quello che ci si possa immaginare, capita che al verificarsi di condizioni concomitanti e non previste, il software si comporti in modo anomalo, non perchè dotato di propria intelligenza, bensì perchè il programmatore può umanamente aver lasciato dei "buchi" o non aver gestito a dovere tali eccezioni
Il software open-source è tra l'atro tra i più esposti ad attacchi informatici, poprio perchè gli hacker hanno la possibilità di analizzare le falle (bugs) e approfittarne (exploit) per compiere azioni tra le più disparate... la modifica, nel particolare caso variazione in aggiunta, di un post sarebbe per un hacker o comunque un malintenzionato un'azione paragonabile a una "stupidata" anche perchè, come abbiamo potuto appurare non passa certo inosservata, la tua comprensibile reazione lo dimostra
un malintenzionato avrebbe fatto danni di gran lunga molto più importanti e "silenziosi", come spamming e/o mass-mailing, oppure defacement e in casi estremi arrivare alla cancellazione del database o di parte di esso (contenuti scomodi)
Ho a che fare quotidianamente con problematiche di questo tipo e tentativi "severi" di violazione della sicurezza di server e/o applicazioni, nessuno è esente da rischi, nemmeno chi fà sviluppare soluzioni proprietarie e/o personalizzate
Se lo ritieni opportuno, considerami a tua disizione per condurre (gratis pro-forum) le indagini "tecniche" del caso