core нет смысла переносить выше. Надо только запретить обращение к ней извне (чтобы запросы на core не могли слать). Здесь запросы идут на assets и connectors, их имеет смысл переименовать. Только надо симлинки для картинок настроить, чтобы 404-ых не схватить.
>> find -type d -print0 |xargs -0 chmod 0550
Это по ssh выполняется одной командой. find -type d -print0 находит все папки. -print0 здесь - учет пробелов в названиях файлов. |xargs - указывает, что с найденными файлами надо выполнить следующие за ним команды, в нашем случае смену прав. -0 здесь работает в паре с -print0 и тоже устанавливает учет пробелов в именах файлов.
Но пока на обновленных сайтах новых взломов не было, может и не стоит столь сложную операцию делать (настраивать права на файлы), иначе могут возникнуть сбои в работе сайта.
И да, права выставляются хостером по умолчанию. Если все работает, то значит так и надо.