En primer lugar, supongamos que el sitio es completamente de su propiedad. Cualquier cosa que haga ahora será "cerrar la puerta del establo después de que los caballos se hayan ido". Nunca estarás seguro de que el atacante no pueda volver a entrar. Si pudieran soltar un archivo en la carpeta raíz, podrían haber instalado otras cosas en otros lugares.
Paso 1: destruye la órbita: es la única forma de estar seguro.
Puede ser doloroso, pero necesita para reconstruir un sistema nuevo, desde instalar medios y aplicar todas las actualizaciones, antes de hacer cualquier otra cosa.
Después de eso, como se menciona en uno de los comentarios, cree un nuevo usuario sin privilegios solo para el servidor web. Instale el servidor web como ese usuario y no como sistema / administrador.
Reconstruye el sitio. No permitir el acceso anónimo. Registrar todos los accesos. Revise los registros.
Todo esto es necesario, pero no suficiente. Hay muchas formas de comprometer un sistema. Pero esto debería ser un comienzo razonable.
"Soy nuevo en este tipo de seguridad" es un buen lugar para hacer preguntas, pero no es un gran lugar para administrar un sistema. Hay mucho que aprender.
Espero que esto sea de alguna utilidad.