Починка сайта на Drupal, полная перенастройка безопасности и вычистка зловредов

Есть сайт на Drupal, который надо вычистить от зловредов, обновить ядро по инструкции
www.drupal.org/ru/docs/us...

и настроить систему безопасности.

СЕЙЧАС:
Drupal 7.69
PHP 5.4.16 (native)
mysql-5.7.27 1 БД ~ 250 МБ

Что нужно сделать:
– обновить версию Drupal, насколько возможно, но чтобы на сайте не отвалились ни действующие расширения, ни шаблон оформления, ни админка для пользователей (добавление материалов)
– удалить явные косяки бе зопасности типа забытого файла install.php в корне
– смена страницы админки
– смена стандартного логина администратора (сделано)
– добавление защиты админ-раздела через htaccess
– добавление защиты потенциально уязвимых разделов через htaccess
– найти, описать и устранить причину появления "левых" пользователей (появляются снова, видимо, из-за внедрённого зловредного кода)
– удаление "левых" материалов этих пользователей (сейчас сделано, но наверняка опять появятся)
– снос всех "левых" расширений и плагинов, которые не применяются фактически и не влияют на уже размещённые целевые материалы
– полностью закрыть регистрацию на портале, особенно с внутренних страниц
– закрытие от индексации всех лишних файлов и каталогов (т.е. всего, кроме корня сайта и непосредственно опубликованных материалов)

Что ещё посоветуете.

Выполнять работы, которые могут привести к недоступности сайта,
можно только с 22:00 до 07:00 по Москве, чтобы посетители портала не наткнулись на техническую кухню.

На время работ включать встроенную заглушку (режим обслуживания).

Также есть почтовые ящики на связанном домене, их "ронять" нельзя.

Ответить подробно на отклики смогу вечером.