A parte le solite pratiche, password buone, nomi utenti non standard, componenti aggiornati... sarebbe da evitare l'uso dell'FTP Layer che ti obbliga a scrivere la pass in chiaro sul configuration.php (si ma tanto c'è pure quella del DB!) e usare un server con il suPHP o metodi simili (quindi server però...lenti!).
Purtroppo joomla ha questi problemini intrinsechi che non permette una completa sicurezza.