взломали сайт

нет, только написать в саппорт и предъявить регистрационные данные, свои, чтобы всё восстановить.

я так понял, что у друга на почте и на сайте один пароль, если я прав, то его не спасут даже регистрационные данные!!! так как подтверждление старого пароля не соответственно новому!!!!

Хреново конечно. Неприятно. Обращайся в тех. поддержку и те все востановят.
Взломать сайт если ты даже сменишь пароли могут опять в том случае если в какой-нибудь сценарий жулик засунул
код отправки паролей себе на мыло. Ищи в коде все операторы mail(), так же посмотри на все формы
(могут быть скрытые поля с кнопкой submit).

Жулик может вставить в сценарий код, который выполнится при предаче сценарию методом GET определенной переменной с определенным значением.

А вообще советую хорошо защищать все формы = устанавливать макс размер символов (атрибут maxlength), удалять все возможные теги strip_tags() и проверять на соответствие шаблону. И тогда ты уже на 90% защищен от взлома.