Тирік написавЕх, ну що ж... загалом - я сам винен що не позбувся компонента який не використовував, та дякую хостеру який вчасно заблокував сайт.
Щодо адмінки, то мене зацікавили такі додатки як: jSecure Authentication 1.0.7 та jHackGuard, є сенс їх використовувати, чи найкращий захист - оновлення?
На моїй пам’яті лише до 1.5.9 був прикрий баг який давав можливість змінити пароль адміна і віддак потрапити в адмінку (лікувалося оновленням системи). Від таких хаків — допоможе. Але від 90% інших — ні. Але їсти не просить, можеш пробувати і адмінку захищати.
Але пам’ятай, що більшість проникнень — адмінку не задіюють взагалі.
Регулярні ревізії системи (підпишися на новини про нові релізи) та компонентів на предмет оновлень + регулярні резервні копії (раз в тиждень або частіше) — правильний шлях.
Ще можна постійно логи звернень аналізувати (з сервера) але досить марудна робота.
Також допомагає аналіз змін на сайті. Є простий PHP-скриптик (filist.php — http://joomladestek.jo.funpic.de/index.php?option=com_remository&Itemid=29&id=9&func=fileinfo ) який показує усі файли на хостингу з датою створення чи зміни файлів. Якщо нічого не встановлювати, а з’явилися змінені файли — шукай біду.