занимаются отдельные специалисты. Тем не менее, уже сейчас можно сказать, что FTP-сервер и пароли, которые указаны в явном виде в скриптах - это плохая идея.
Полагаю, что вы находитесь на этапе 0, поэтому аудит вряд ли нужен вообще:
https://toxa.livejournal.com/487821.html
Достаточно прочитать best practices к продуктам, которые вы используете.