Грунтуючись на власних спостереженнях, зроблених протягом років роботи в сапорті англомовного хостингу, величезна всім порада - використовуйте виключно найсвіжіші підтримувані версії абсолютно всього: як ядра джумли, так і модулів та тем.
Тобто, не можна використовувати стару джумлу, не оновлюючи її, а також встановлювати модуль чи тему, котрі давно не оновлювались розробниками.
Це навіть не порада, а прохання, оскільки перш ніж Ваш зламаний сайт заблокує Ваша хостингова компанія і сповістить Вас (якщо хостинг не безкоштовний - скоріше за все Вам дадуть доступ на Вашу АйПі-адресу та скажуть все почистити, оновити, і впевнившись що Ви це зробити - розблокують), щось змушує їх це зробити.
А це, зазвичай, скарги від заспамлених чи атакованих Вашим сайтом без Вашого відома, блокування АйПі-адрес серверів спам-фільтрами, привернення атак на сервер, створення необгрунтовано високого завантаження, і т.п. - проблеми, від яких страждають всі кількасот сусідів по серверу, тому ми мусимо дуже оперативно діяти коли таке спливає, аж до додаткових робочих змін для працівників; тільки уявіть нашу "радість" коли приблизно одночасно зламується кілька десятків чи сотень сайтів, в яких однакова "діра": для прикладу - стара версія якого-небудь модуля, скажімо "timthumb" (хоча іноді не стара а просто дірява), звідти шлеться купа спаму, і в кількох сотень або навіть тисяч інших клієнтів не доходить до адресата пошта, через те що один чи більше великих провайдерів заблокували АйПі сервера як джерело спаму, отже ми мусимо кожен сайт ізолювати, вмовити провайдерів нас розблокувати, а потім ще і прослікувати щоб кожен прийняв міри, та посканувати тисячі інших сайтів на наявнісь подібної діри...
Ностанок, раз вже зайшла мова про безпеку, ще раз нагадаю - слідкуйте щоб всі паролі були такими, щоб їх можна було охарактеризувати "випадково такого не напишеш" і "як таке можна запам'ятати", а також щоб паролі не передавались на сервер через незахищене з'єднання і сумнівні пристрої і програми (наприклад - якщо Ви заходите в адмін-панель сайту чи контрольну панель хостингу чи ФТП з ноутбука на якому стоїть ламана "вінда" чи хоча б одна ламана програма, мжливо і "ламаний" антивірус, і Ви звісно ж не можете бути впевнені що там нема якого-небуть трояна, та ще й через публічний WiFi, інакши як "камікадзе" Вас не назвеш).