Hallo!
und die gehackte "garden" ist in seperatem account oder wo mit drin ?
Die mutmaßlich gehackte Seite „garden“ ist accountmäßig ‚stand alone‘.
Das lässt sich nicht so einfach beantworten. Die Maßnahmen dienen ja vorrangig dem Spamschutz. Eine 100%ige Absicherung das die Seite nicht gehackt wird, gibt es nicht und liegt nicht allein an Joomla. Der Server und die eingesetzte Software spielt hier auch eine ganz entscheidende Rolle. Wenn Updates regelmäßig eingespielt werden ist man schon "etwas sicherer".
Perl-Version: 5.20
Mit den genannten Maßnahmen, zeitnahen Updates von Joomla und Drittanbieter-Erweiterungen, sowie einem "guten" Hoster, hast du nahezu optimalen Schutz vor Hacks.
Meintest du „keine Drittanbieter-Erweiterungen“? Bzw.: welche Rolle spielen diese? Wie ‚pflegt‘ man sie?
Ganz großes Thema für mich: Das Backup. Bisher nutzte ich immer die Backup-Funktion des Hosters. Es hieß aber auch immer, das gebe ich zu/räume ich ein: ein ‚richtiges‘ Backup enthält alle Skripte und einen „Dump“ der DB. Tja… 
Ahnung wäre von Vorteil. 
Was die Hoster-Funktions-Backups betrifft, das ist mein ältestes („garden“) leider nur noch vom 22.12.2019. Die anderen hatte ich gelöscht. Vorhanden sind 8 Backups. Vorteil nach meiner Einschätzung: Die Änderungen an „garden“ seitdem waren nicht viele.
Dem kann ich mich nur anschließen. Ein wachsamer Webmaster prüft regelmäßig seine Website(s). Mindestens durch Einloggen ins Backup mit Prüfung auf Updates, Sichtung der Serverstatistiken (Unregelmäßigkeiten fallen dort schnell auf) und auch kurzer Check und Sichtung auf Dateiebene. Viele Hacks hinterlassen sofort erkennbare fragwürdige Dateien bereits auf Webroot-Ebene. All das sind ein paar Minuten Aufwand, wenn man es regelmäßig und geübt macht.
Das ist oberhalb und jenseits meiner Fähigkeiten.
Sorry, bin vom eigentlichen Thema/Titel abgewichen.
Finde ich nicht.
Vielen Dank euch! Ich denke, als nächstes schau mich hier mal um zum Thema „SEO/Metadaten“, denn „scifi“ soll ja Ende August live gehen.
cu 