LEOnidUKG

В каком смысле разные? Чтобы они отличались от id пользователя? Просто смысл не совсем понятен. Ну пусть у всех называется Корзина просто если нет названия, зачем им добавлять цифру?

Из простого, у меня стоит счётчик: https://statcounter.com/

Показывает куда ходили и откуда пришли.

Ну пусть хранятся... там же есть id порядковый у них. Если нет название то выводить Корзина + id пользователя

Какую проблему? По вашей ошибки вы какую-то левую почту вводить вас и не впускает. Вам вроде как надо в админку попасть и там уже работать. Но вместо этого вы ищите "чёрную кошку в тёмной комнате".

ну так может быть быстрее нового админа создать и всё. Или у старого посмотреть почту.

Мне вам совет, делайте бэкапы всех сайтов. Сносите ОС, ставьте последнюю доступную и все обновления и закачивайте все сайты заново. Если уж кто-то попал в систему, там уже хрен разберёшь, куда подцепился. Возможно через дыру в каком-то софте создал пользователя. Выяснять дольше времени. 

Я бы в PHP прописал php.ini

disable_functions = popen, exec, system, passthru, proc_open, shell_exec,show_source, opcache_get_status, ssh2_connect, ssh2_exec

Чтобы через PHP не смогли перебирать удалённые пароли, но надо специфику проекта вашего знать.

А что вообще на сервере то? Просто сайты? Какая панель управления? Есть ли другие пользователи? У них есть доступ на SSH? 

Конечно, везде есть "НО".

Просто боты стали частью продвижения и с этим надо жить.

Яндекс = только боты. Да, это реальность. Т.е. подтянуть сайт то можно и без них, но топы только ботами, никак иначе.