После смены паролей, по возможности следует:
1) Сохранить все что возможно (полный дамп кода, базы и логов)
Делается это для дальнейшего анализа - определения причины и деталей взлома(скрипт, дату и время взлома сайта + IP злоумышленника )
2) Восстановить сайт из резервной копии (базу скрипты etc)
3) Провести анализ по сохраненным данным из пункта 1
4) Устранить уязвимость, через которую сайт был взломан.
Можно еще до завершения анализа попробовать обновиться до последней версии скриптов
если использовали что-то стандартное (Wordpress к примеру)
5) Провести комплексный аудит сайта на наличие уязвимостей
Тут уже ищите или исполнителей толковых или сервис хороший.
6) Первое время особое внимание на логи сервера т.к. вероятность повторных попыток взлома сайта будет очень высока