Hallo zusammen

Mir ist es diese Woche gleich zweimal passiert, dass eine von mir unterhaltene Webseite Opfer eines Hacks wurde: In beiden Fällen wurde jeweils an den Beginn sämtlicher index.* - Files der Seite ein iframe mit Verweis auf eine polnische Domain platziert.

Zuerst einmal ein seltsamer Zufall, da mir dies vorher noch überhaupt nie passiert ist und die beiden Seiten in keinster (mir bekannter) Weise miteinander verlinkt sind (Sind beide aus der selben Region, mag also sein dass sie irgendwo auf einer Linkliste erscheinen). Die beiden Seiten sind schon grob 4 und 2 Jahre online.

Da die Veränderung der Files sehr simpel und systematisch geschehen ist, nehm ich an dass da irgend ein Bot am Werk war, oder lieg ich da falsch? Die Seiten zu säubern über die Originalfiles ist simpel und schon geschehen, aber so ists natürlich nur eine Frage der Zeit bis sie wieder Opfer des selben Hacks werden.
Die Anzeichen sagen mir dass ich wahrscheinlich irgendwo (wohl aus Unwissenheit) einen ziemlich dämlichen und fahrlässigen Fehler begangen habe. Kann es an der Konfiguration der Server liegen? Oder wie sonst kriegt der Bot Direktzugriff auf die Files und kann sie editieren?
Die Seiten laufen bei unterschiedlichen Hostinganbietern mit unterschiedlichem CMS (Joomla/Typo3). Ich habe schon etwas recherchiert, habe aber abgesehen von allgemeinen Tipps und Anleitungen, was nach einem Hack zu tun ist nicht wirklich etwas gefunden. Wo liegt der typische Angriffspunkt bei dieser Art Hack, was sollte ich überprüfen?

Besten Dank für eure Hilfe!