Помнится в первой версии была дырка с загрузкой шелла через админку, во второй уже пофиксили. Сам опенкарт вполне защищен, уязвимы могут быть сторонние модули. Рекомендую переименовать папку с админкой и повесить на админку доп.авторизацию через .htaccess
