Direkt gefolgt von fehlerhaften oder gar absichtlich mit Lücken/Hintertürchen versehenen Addons - Sicherheitsmaßnahme: seriöse Quellen/Shops/Programmierer suchen, selbst PHP-Grundlagen aneignen und Addons/Slots selber prüfen

Auch sehr beliebt, jede X-beliebige Person ("Progger") auf den FTP zu lassen, nur damit ein Addon eingebaut wird. - Gegenmaßnahme: generell kein FTP nutzen, wenn schon SFTP. Inhalte des Webspace in einem Versionsverwaltungssystem ablegen (SVN, GIT, ...). "Proggern" immer nur eine Kopie davon geben, mit einer "leeren" Datenbank.

Der Umstieg von FTP auf svn via ssh hat bei den meisten meiner Kunden viel gebracht, da man damit auch eigene Fehler besser unter Kontrolle hat, jederzeit nachvollziehen kann, was wann geändert wurde, man automatisch ein lokales Backup hat.
Geht halt auf Webspace nur selten, und man muss den Webbis das erstmal erklären