Aha, die wissen dann also was in $salt steht? Selbst wenn da nur ein "fqawsed54t5ftgqa4" drin steht als String, kannst du jeden Rainbow-Table knicken.

In seinem Fall steht der Salt offensichtlich als fixer oder berechenbarer, nicht-individueller String irgendwo im Programm oder in einer Datei.

Das Problem ist nicht der bekannte Salt, es ist, dass es für jedes Passwort wahrscheinlich der selbe ist.

Das nächste Problem ist: Moderne Funktionen wie password_hash() machen das nicht einmal sondern salzen und hashen das Passwort mehrere tausend Mal. Aus dem einen Grund: Damit der Vorgang mehr Zeit braucht.

unnötige Panikmache halte ich da für Kontraproduktiv

Das ist es nicht. Der TO hat die Idee irgendwo her und dann implementiert. Es ist zu befürchten, dass irgendwer daherkommt und diese im Zeitablauf unsicher gewordene und deswegen zu verwerfende Idee auch abschreibt und für sicher hält.

es sind entweder völlig unsichere Passwörter oder Lücken im System, die ein Eindringen ohne Login erlauben.

Ja. Wie eben Wordpress-Plugis, welche Angreifern statt dem Upload einer Grafik die Installation einer PHP-Shell und das Abgreifen der ganzen Passwort-Datenbank erlauben.