Se eles fizerem login via FTP, a senha da sua conta de usuário será comprometida e eles apenas enviarão por FTP o arquivo modificado. Faça uma auditoria em todos os lugares que usam a senha da sua conta para obter malware que coleta senhas e altere a senha para algo seguro. Considere também usar um método de autenticação sem senha (como chaves públicas SSH), mas se sua máquina de desenvolvimento estiver repleta de malware, ela poderá roubar a chave.