ftp-сервера очень слабо защищены и требуют специальных мер для укрепления защиты (виртуализация корня фс и т.д.). Гораздо разумнее для передачи файлов использовать ssh и winscp в качестве клиента для "подоконников". Защита будет на высшем уровне и не требуется дополнительного сервиса, ssh всегда есть.
PHP могу рекомендовать укрепить патчами
http://www.hardened-php.net/suhosin/http://www.xakep.ru/magazine/xa/106/154/1.aspА для защиты вебприложений очень разумно использовать mod_security.
http://www.howtoforge.com/apache_mod_securityМодуль отслеживает опасные последовательности в запрашиваемых ссылках и рубит все подозрительное. Это не абсолютная защита, но вы будете защищены от известных атак типа PHP Include, SQL Injection, Cross site scripting (XSS) и прочих. Можно дополнять фунционал самостоятельно, там используется обычный файл с набором регулярных выражений.
Только не торопитесь модуль включать на рабочем сервере, скорее всего, без вдумчивой настройки, он будет обрубать и допустимые (безопасные) действия пользователей.
И, хотя за этим следит много глаз, на уровне самого moodle тоже конечно возможны дырки и мы сами иногда их открываем, например разрешаем использовать swf. Не ленитесь участвовать в разборе обнаруженных уязвимостей, это полезно и Вам лично и всему сообществу.
Да, еще замечу, что от дырок на уровне вебприложений можно прикрыться средствами системы. Используйте специальные атрибуты файлов, средства наблюдения за целостностью и прочие инструменты.
(антивирус вручную ). 