Innanzitutto grazie per le risposte, in joomla mi sento un novellino e quindi cerco di non fare troppe castronerie.
non ho capito se gli attuali proprietari dei siti potrannno accedere tramite ftp / o web (all'amministrazione)
allora in 1 caso accedono via FTP
in 3 casi via web administrator
sto pensando di iniziare a installare un componente per permettere ACL.
in nessun caso possono loggare da front end
hosting (non hosto direttamente)1) accesso FTP a directory madre della public_html dove spostare il file di configuration.php
. non ho capito che intendi 
mi sono spiegato come un cane. Ho letto ma devo rileggere, di poter spostare il file configuration.php in una directory "fuori" dallo spazio web, e poi includerlo
es. /etc/qualchecosa/configuration.php NON raggiungibile direttamente da web.
2) protezione della directory /administrator tramite .htaccess che setti un utente/psw
. puoi farlo, basta che la password non sia banale, e che l'utente non sia admin 
tipicamente i problemi nascono da moduli e componenti scritti con i piedi, raramente da un accesso al back end: forse è meglio se setti pws complesse e ti concentri sul front end.
per le psw ok, diciamo che mediamente le mie sono di 10-15 caratteri, ovviamente .htpasswd NON è in /administrator.
3) protezione dell'url del pannello di controllo di Joomla tramite JSecure
. non conosco jsecure, leggendo velocemente mi pare che non debba avere conflitti, a meno che non usi l'autenticazione http.
mio pensiero: Security through obscurity is not Security anche perchè è scritto da tutte le parti che è Joomla!, non sarà certo nascondere il back end che non lo farà capire...
no, certo, è solo per impedire un facile accesso ad /administrator nel caso venga recuperata una delle psw tramite qualche componente fallato (questo insieme ad .htaccess).
4) chmod di directory a 750 e files a 640
ARGH! non limiti in alcun modo né php né ftp, ma corri il rischio di bloccare altri processi quali backup et cetera... 
se non hai un accesso da shell non modificare i permessi, a meno che non siano 777! (in genere non modificare i permessi se non sai come funzionano esattamente, ovvero se non sei pratico di *nix)
si, cancella tutto, ho detto una caxxata. le directory verranno settate a 755 e files a 644, tranne nel caso di:
- images 775
- dmdocuments (Docman) 775
- cache (che pensavo però di non usare) 775
- tmp 775
- eventuali altre directory necessarie per determinati componenti. 775
comunque con oggi ho finito di cancellare tutti i vecchi utenti administrator e sostituirli con nuovi (due administrator per sito nel caso ne venga bloccato uno), ed ho iniziato il processo di gestione dei back up sia manuali che semiautomatici.
Sto pensando di estendere il contratto con l'hosting per prevedere un bkup da parte sua sia di files che di DB il tutto giornaliero ma devo ancora vedere quanto mi chiederà.
Per quanto riguarda i componenti installati ho visto che mediamente essi sono:
- docman
- jevents
- acajoom
in vari stadi delle varie releases.
in un caso ho un virtuemart assolutamente datato ma con modifiche al core e quindi lì devo vedere come migrare (consigli?).
altre cose "volanti" per incrementare la sicurezza ora non me ne vengono, ma sicuramente tornerò con altre domande più avanti.
ale
