1. проверить айболитом
revisium.com/ai/
2. удалить вредоносный код
3. обновить движок, поставить патчи
4. запретить в php.ini все системные функции и, по возможности, chmod
5. все директории и файлы, в которые cms ничего не записывает, сделать read-only
6. в те директории, в которые делается запись (backup, logs, tmp, cache) разместить .htaccess, запрещающий выполнение .php
7. в корневой .htaccess добавить правила, запрещающие sql иньекции/rfi/xss хотя бы методом get
8. на всякий случай прогнать XSpider 7.8 или Acunetix Web Vulnerability Scanner'ом на предмет дыр и закрыть их
9. закрыть админку дополнительной серверной авторизацией (например, по ip, кодовому слову в user agent и т.п.)
