Se o hacker conseguiu carregar o código para ser executado, ele provavelmente comprometeu o servidor em vez do aplicativo. (este é apenas um palpite inicial - ele poderia ter comprometido seu servidor por causa de seu aplicativo ...)
Alguns ponteiros básicos e coisas para fazer:
Primeiro, mude suas senhas - Todas elas - Painel de controle, usuários de FTP etc. Escolha senhas strongs que sejam menos vulneráveis a ataques de dicionário / arco-íris. (use caracteres não alfanuméricos, letras maiúsculas e minúsculas, etc.)
Verifique se nenhum outro usuário foi configurado no domínio, se ele foi removido imediatamente.
Puxe todo o seu código do site e restaure-o de um backup novo que você saiba que é seguro. Reimplante a partir do seu controle de origem privada, se possível.
Peça ao seu host para verificar se todos os patches e atualizações de segurança foram implantados em seu servidor.
Finalmente - hora de uma revisão de código - é necessário verificar injeções SQL, ataques XSS, ataques XSRF.