Да, в файле авторизации можно добавить вредоносный код, который, параллельно, отправлял бы данные на почту или просто оставлял бы на сервере в одном .txt файле - как у меня написано в примере, остается только заменить переменные и уточнить путь сохранения файла (куда нибудь, что бы безпалевно было)

Для начала нужно разобраться в самом коде файла авторизации... Ты хотя бы скажи какая там система (Wordpress, и тд) а потом уже можно будет пробовать. Ничего сложного, я думаю. Но если ты вообще дуб в php, то лучше не браться самому.