I permessi li devi settare il più bassi possibile. Se non c'è nessun motivo per il quale index.php debba essere scrivibile, togli i diritti di scrittura.

Come abbaino inserito l'iframe non lo so, certo che se non c'erano controlli sul parametro passato in get, c'era sicuramente una bella falla