Никакой супер-защищенный движок не даст 100% гарантии безопасности, если администратор сайта игнорирует базовые правила гигиены.
● Логин и пароль от административной панели, а так же хостинга никогда не сохраняйте в браузере.
● Не суйте в свой компьютер чужие флешки, и свои в чужой или другие информационные носители. В них могут быть вирусы, которые поразят не только вашу ОС, но и найдут все данные доступа к вашему сайту.
● Всегда делайте физическую последнюю резервную копию сайта. Просто скачайте файлы сайта zip архивом и базу данных.
● Все данные входа на сайт и резервные копии храните дополнительно в облаке или на съёмном информационном носителе. Если что-то произойдёт с компьютером или ОС, то у вас ничего не пропадёт.
● Настройте двухфакторную аутентификацию для входа в административную панель. Даже если у вас спионерят логин и пароль от административной панели, то воспользоваться ими не смогут, потому что код подтверждения придёт только вам.
● Права доступа на редактирование файлов и папок на сервере хостинга. Если вы развернули свой сайт на хостинге Beget, то там уже настроен сервер, чтоб ваш папаки имели права 700, а файлы 600, это оптимальный вариант. Если у вас там другие права, которые разрешают пользователям вносить изменения, то измените права.