Necesito lograr que mi pagina sea segura

Ocupo que cuando entro a la pagina igrese directo a la pagina de login y no a la principal por ejemplo ingreso la direccion a la pagina principal y entra eso no me sirve porque la idea es que haga como los correos que si me salgo o quiere entrar a mi bandeja de mensajes primero me pida el user name y el password.

Pues haz que la página de login sea la principal y la que ahora es la página principal sea una página interna...

puedes agregarle el login al index y validando la sesion entrarias o al login o a la pagina en si, seria algo como

comprobar sesion
si no hay sesion
cargar login
si hay sesion
mostrar la pagina normal

Código PHP :

<?php
if(!isset($_SESSION['log'])){
//LOGIN
}
else{
//PAGINA
}
?>

Tengo un problema con la seguridad de mi sitio. De pronto me aparecieron por todas partes esta leyenda "HACKED BY ALBANIAN HACKERZ ZONE".
Aparentemente este hacker grabó información en algunas tablas e hizo cosas que supuestamente sólo se pueden hacer desde un panel de control al cuál se accede por clave. Subió fotos y hasta envió varios newsletter, provocando un envío masivo de correos.
Con respecto a la función mail(), le puse un control para que verifique si en los campos de los formularios hay código prohibido, como etiquetas html y demás.
En cuanto a la inyección de SQL por URL no sé que hacer. Encontré por ahí un test para saber si mi servidor es vulnerable a esto y el resultado fue negativo (tiene que ver con el tema comillas, ¿no?)
¿Será un tema de passowrd?, ¿habrán descubierto el password para ingresar al panel de control?.
Lo que hice con respecto a eso fue dejar de usar MD5 (tengo entendido que ya no es seguro) y generé claves más complejas, pero ¿será esto suficiente?, porque las grabo en la base de datos, tal como después tienen que leerse.
Si tienen alguna sugerencia, por favor, muchas gracias de antemano.

Bigote
Tu problema es otro. Lo primero que debes hacer es avisar a quien te da hosting.

Lo segundo es chequear tu máquina por virus, gusanos, etc.... Lo más probable es que el ataque venga desde tu propia computadora, si usas FileZilla como cliente de FTP es casi seguro que allí está el problema, hay virus que leen los login almacenados en ese programa y usándolos modifican los sitios webs que accedes con ese programa.

Y lo tercero es que cambies los permisos de escritura a tus archivos en el servidor para que no puedan ser modificados (chmod 444).

Uso CuteFTP y tengo puesto un antivirus. No obstante voy a hacer un análisis y voy a ver también en el hosting, pero la verdad que me extraña algo así.

Con el tema de los permisos, tengo que corregir el script, porque tengo algunas carpetas con 0777 para poder subir imagenes. ¿Tendria que ponerla en 0444 una vez que el archivo fue subido, no?

El CuteFTP también es vulnerable, de hecho cualquier programa de FTP medianamente conocido es vulnerable.

Idealmente solo debes poner permiso 444 a los archivos "ejecutables" (html, php, js, etc...).