Попадают они туда обычно тоже через хитровы*й POST/GET запрос. Берите access.log, сортируйте по количеству хитов и рассматривайте все странные запросы - так всплывет какая-нибудь уязвимость внутри cms.
Ну а в первую очередь, проверьте версию proftpd на сервере.
На https странице все элементы должны загружаться по https.
Нужно либо просить владельцев серверов отдавать данные по https, либо проксировать эти врапперы через себя, либо убрать их.
У вас админка пытается грузиться по https (а сайт по https не работает сам).
В файле configuration.php поменяйте var $force_ssl = '1';на var $force_ssl = '0';
Так же проверьте, что переменная $live_site в том же файле не содержит https. Ну и вообще поищите по вхожддению https и ssl в конфиге.