Можно сделать вход в админку только с определенных IP, это можно сделать так:
В файле admin.php после строки:
define ( ‘ENGINE_DIR’, ROOT_DIR . ‘/engine’ );
ниже пишем:
$ip_diapazones=array(
’99.99′, // Администратор
’99.999′, // Журналист 1
’92.123′, // Журналист 2
’23.321′, // Журналист 3
’123.999′, // Модератор
);
$user_ip_net=explode(«.»,$_SERVER['REMOTE_ADDR']);
$user_diap=$user_ip[0].’.’.$user_ip[1];
if(!in_array($user_diap,$ip_diapazones)){
$die=’<!DOCTYPE HTML PUBLIC «-//IETF//DTD HTML 2.0//EN»>
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL ‘.$_SERVER['REQUEST_URI'].’ was not found on this server.</p>
<hr>
<address>’.$_SERVER['SERVER_SIGNATURE'].’</address>
</body></html>’;
@header( «HTTP/1.0 404 Not Found» );
die( $die ); }
Пишем нужные вам диапазоны IP адресов. Теперь взломав даже учетную вашу запись, злоумышленник не сможет ничего сделать.  Закрепить эту защиту можно добавлением в файле .htaccess это корень Вашего сайта находим там строку:
RewriteEngine On
ниже добавим:
ErrorDocument 403 «<h1>Forbidden</h1>»<Files «admin.php»>
Deny from all
Allow From 99.99. #Администратор
Allow From 99.999. #Журналист 1
Allow From 92.123. #Журналист 2
Allow From 23.321. #Журналист 3
Allow From 123.999. #Модератор
</files>

Диапазон нужных Вам IP-адресов придётся продублировать.
7. Далее делаем запрет на на выполнение скриптов не относящихся к нормальной работе сайта.
Опять открываем файл .htaccess в корне сайта, находим строку:
RewriteEngine On
ErrorDocument 403 «<h1>Forbidden</h1>»
ниже пишем:
<FilesMatch «.(php|h|c)$»>
Order allow,deny
Deny from all
</FilesMatch><FilesMatch «(index.php|go.php|ajax.php|download.php)$|^$»>
Order deny,allow
Allow from all
</FilesMatch>

Это запретит вызов PHP-файлов кроме как index.php, go.php, ajax.php и download.phpкоторых достаточно для работы Вашего сайта.