Нужен совет по безопасности.

Добрый день!

Сайт взломали, удалили зараженные файлы и обновили до последней версии, через день сайт опять взломали.
Опять удалили всю заразу. Поменяли все пароли.
Перед запуском сайта решил спросить совета, может есть какие-то рекомендации по безопасности.
У меня второй сайт уже на последней версии ломают.

1) Похоже,что вас "увели" БД
2) В любом случае, надо менять везде пароли (в т.ч. и на БД !!!) и соль (если не установлена - установить).
3) Поменять алгоритм хэширования в /modules/core/hash.php md5 --> sha1 (http://ru.stackoverflow.com/questions/422952/%D0%9A%D0%B0%D0%BA%D0%BE%D0%B9-%D0%BC%D0%B5%D1%82%D0%BE%D0%B4-%D1%85%D1%8D%D1%88%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F-%D0%BB%D1%83%D1%87%D1%88%D0%B5-md5-%D0%B8%D0%BB%D0%B8-sha-1-%D0%B4%D0%BB%D1%8F-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D0%B3%D0%BE-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F,   https://habrahabr.ru/post/139974/)
4) там же, добавить/поменять "соль" (https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BB%D1%8C_%28%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F%29) - длиной не менее 6-8 случайных символов
5) Пароли и соль не выдумывать, а генерировать спец.утилитами
6) Для админки пароль не менее 8 символов (при наличии соли можно меньше).
7) Для БД пароль лучше выбрать подлиннее - 12-16 символов

Посмотреть дату создания вредоносных файлов (чаще всего не заморачиваются и оставляют реальную), открыть access-логи сервера, в районе этого времени все внимательно исследовать, найти как и через что заходили. Потом с этого IP внимательно проверить по логам всю активность. Удалить вредоносные файлы, которые вы не до конца удалили в предыдущий раз. И не сохраняйте FTP пароли в файловых менеджерах!

ArpaWeb,
вирусы также могут быть в картинках
проверьте сайт вирусдаем https://virusdie.ru/

Выкачал сайт к себе на локалку.  Прогнал антивирусными Dr, Web, Касперский, ничего не нашли. Сейчас поставили проверятся скриптом Manul от яндекса.

Спасибо всем за ответы. Будем пробовать побеждать!

Выполнил все рекомендации, которые дали, сайт запустили и вот опять беда.
Сегодня еще попробуем вирусдаем проверить. Но что-то мне кажется этого мало будет.

ArpaWeb,
так ищите источник заражения и удаляйте.

А Какие примерно бывают опознавательные элементы у источника? Я никогда так еще не боролся с вирусней. Обычно удаление, смена паролей и обновление системы спасало.

ArpaWeb,
мы как-то раз чистили от вирусов сайт каждую неделю, они появлялись снова и снова, проверили вирусдаем и нашли источник