Pętla na cURL w konsoli w linuksie i można jechać na wakacje ;) Problem w tym, że nie znamy także loginu, więc czas się diametralnie wydłuży. Ale żadnego zabezpieczenia nie ma, więc to kwestia czasu.
Co do sesji: jeśli Hostinger stawia wszystko na współdzielonych to jest szansa po prostu przejąć sesję z innej strony postawionej na tym samym serwie. Wystarczy id sesji, stąd proponuję wykorzystywać funkcję session_regenerate_id.
Wypada także zabezpieczyć same cookie (flaga http_only jest obowiązkowa, flaga secure zalecana). Ogólnie o sesji polecam poczytać tutaj: http://www.forumweb.pl/php/sesje-w-przegladarce-miedzy-serwerami,62090
Co do zabezpieczenia przed słownikowymi atakami: blokada logowania na konto po x nieudanych próbach? + można blokować czasowo