Попробуйте так:
1) Измените пароли в админку, пользователям ftp, mysql, обратите внимание на права пользователя mysql, сервер СУБД не должен быть доступен извне
2) Ищем поиском по файлам на предмет eval, shell_exec, и иже с ними, а также подозрительный код, обфусцированный код.
3) Закрываем дыры, анализируем обработчики форм, перед приемом в работу все поля приводим к правильному типу, число можно просто (int)$num, строковые данные проверяем по регулярке.
4) Используем подготовленные выражения
Может кто то еще что то добавит
|