Лучше нанять спеца, которому можно доверять
0. Сделать максимально полное зеркало всей системы
1. Желательно заглушить все
2. Придумать откуда взять чистую версию всего софта
3. Установить на новую чистую систему, чистые магазины - неизвестно не повысил ли привелегии злоумышленник
Из очевидного:
убрать апач
1 сайт = 1 юзер
php-fmp из-под юзера сайта
никаких 777
изменения в сайты вносятся через гит
отдельный гит репозиторий контроллирует состояние скриптов сайтов, которые лежат на хосте
Настроить мониторинг