@El_relator yes, la cuestión es que tienen acceso a la cuenta. Podemos evitar que actualicen el perfil con urls con ese patrón, pero no evitas que sigan pululando por las cuentas. Mañana buscaremos algo (que si pones cierta URL en el perfil se autodeshabilite, o que no puedas amigar, etc...).
@Lito se me ocurre un redirect forzoso a todos los usuarios al entrar al portal... para que creen una nueva contraseña más fuerte... y si no, cualquier acción estaría bloqueada, pero se puede liar la de dios...