a livello di be hai due alternative veloci usando le direttive di apache:
1. limita l'accesso ad un determinato ip (se hai un ip statico)
2. usa php per settare un cookie e apache per rilevarlo prima di consentire l'accesso alla dir di amministrazione.
trovi entrambi i sistemi spiegati, se non sul forum, su internet.
nota che ha senso se lo fai da apache, molto meno se lo fai con un componente di joomla...
a livello di fe può essere utile anche solo un plugin che effettui il parsing delle richieste ed impedisca sql injection ed lfi, consiglio, ma sono di parte, il mio

ciao,
marco