Mi a teendő, hogy ne törjék fel újra az oldalam?

Sziasztok!
Ma jelezte a szolgáltató, hogy feltörték a weboldalunkat és elhelyeztek ott egy admin.php nevű fájlt, amit időnként lefuttattak, ami pedig több 1000 spamet küldött szét a világban alkalmanként. A bejelentkezések Oroszországból, Hollandiából, Franciaországból, stb történtek. (log ban lévő IP cím alapján... tudom megváltoztatható, meg proxy...)
A kérdés igazából az, hogy hogyan tudom megakadályozni a későbbiekben ezt, illetve eleve hogyan jöhetett létre?
Az oldal gyakorlatilag szeptemberben kezdett készülni, az első nyom a logban szeptember 3. (Lehet maga a Joomla a ludas?) (2.5.27-es joomla, mert PHP gondok miatt 3.x nem mehet)
Amit megtettünk: a kérdéses fájl kivettük a www mappából, hogy legalább futtatni ne lehessen, váltottunk jelszót.
Lehet olyat, hogy admin felületen a bejelentkezést csak egy bizonyos IP tartományból engedjen? pl Magyarország.

Az a bajom, hogy
1. Nincs tiszta biztonsági másolat, mert gyakorlatilag nem is volt weboldal (szeptember3) már történt belépés
2. Ígéretet kaptam, hogy a héten felfrissítik a PHP-t és akkor mehet a frissebb Joomla!

Kérdés, ha nem tiszta az oldal, akkor mire megyek vele...

Komolyan mondom én nem értem Ti milyen ratyi tárhely-szolgáltatókat fogtok ki. Nekem még egy oldalamat sem törték fel hat év alatt. Mondom ezt úgy, hogy amikor elkezdtzem foglalkozni a joomlával, a legelső az 1.5.9-es volt, és annyira nem értettem hozzá, hogy a biztonságossá tételét akkori tudatlanságom miatt oly mértékben leszartam, hogy egy jó évig még csak a frissítéseket sem tettem fel. Admin oldalt nem volt elrejtve, a felhasználónevem természetesen admin volt és még captchát sem használtam. Persze buzgón küldték a rendszerüzeneteket, hogy frissítsem, de nem foglalkoztam vele. Azért elárulom, mert gondolom már megöl titeket a kíváncsiság, ez a joomlatárhely. Merem állítani, ez a legkirályabb és talán egyben a legdrágább tárhelyszolgáltató kis hazánkban. Azt beláttam, hogy annak ellenére, hogy űberelhetetlen, a horrorisztikus ára miatt szakítottam velük és egy picit olcsóbb helyre vittem az oldalaimat, ahol ugyanazért a pénzért ötször akkora tárhelyet kaptam, és azóta is megelégedéssel használom. Azóta természetesen komoly hangsúlyt fektetek a biztonságra, de a sok közül van egy oldal, ami azóta is csak az 1.5-ös joomlát használja, igaz a legutolsó kiadást, és itt szintén semmi védelmet nem állítottam be. Direkt. Kicsit várom már, hogy feltörjék, mert hiába figyelmeztettem a tulajt, hogy frissíteni kéne, meg kitalálok Neki egy okos árat, a füle botját sem mozgatja. Tehát gyakorlatilag már öt éve fent van azon a bizonyos szerveren kitéve mindenféle veszélynek és azóta sem törték fel. Reklámot nem csinálok a cégnek, mert nekem ezért nem fizet. Annyit elárulok, hogy székesfehérvári és nem a gyümölcsék. Szóval én azt mondom, akinek feltörik az oldalát az meg is érdemli, mert valami ingyenes vagy nagyon ocsó ratyi garázscéggel vagy vállalkozóval kötött szerződést. De szívesen fogadom a cáfolatokat.

Konkrétan iskoláról van szó, Sulinet és a NIIF által üzemeltetett szervereken van a weboldal.

Leírásod alapján elkezdtem a migrálást, viszont a felajánlott 3.3.6-os Joomla!-nak nem elég a PHP. Üzemeltető azt mondta, hogy a 3.2.7 még jó lenne. Hogyan tudnám rábírni a Joomla!-t arra, hogy ne a legfrissebbre migráljon, hanem egy korábbira

Nem is tudom elindítani a telepítőt.
"We can't install the update to 3.3.6 as your host doesn't support the minimum requirements for Joomla 3.3.6 and there is no alternative available."

Vagy töltsem le a 3.2.7-et és manuálisan nyomjam fel, majd a lementett weblapot valahogyan be tudom emelni?

Mit értünk belső telepítés alatt.
Hosszú távú támogatást választva csak 2.x re enged frissíteni.
Ha rövid távút választok, akkor meg kiírja, hogy nem frissíthető PHP probléma miatt!