楼上说的。。。。。。
建议采用开源架构，二次开发，然后加入一些自定义开发的安全防护功能模块，或者插件例如N年前就有的SQL防注入通用，任何从客户端获取的东西都是非可信的，完善的日志系统，审计系统，事后能够捕获xday或者bug，如果流量不大，建议全流量收集。这东西没有绝对的安全。采用开源架构，是因为很多人替你趟过了不少坑了。有漏洞容易被波及，但是你从全局就做一些防护，有漏洞存在，但 不一定被x。

以上纯属吹水，10年IT从业经验，8+渗透经验，8年防护，擦屁股无数次的经验告诉我，人才是第一位的。

什么防护，什么安全产品都是摆设。

不是不被入侵或者攻击，只是你不具备被入侵的价值，特别讨厌有人说帮我盗个QQ。修电脑的。

备份加防御，行为管理，有证据

你首先应该问这个人出现的现象是什么，比如网站出现黑页等，你先判断是不是真的如他所说，被黑！
判断被黑的现象之后判断根源，黑页找到链接删除， 病毒扫描一下出来杀毒等
通过什么样的方式被黑,逻辑漏洞？中间件漏洞？弱口令？等，之后进行漏洞修复