Адміни або самі відновлення з бакапу роблять (якщо в адмінці сайта/хостінга є така функція), або хостера просять. А якщо це безкоштовний хостинг де немає бекапу, то ручками відновлюють сайт. Також бувають провайдери, що самі відновлюють сайт з бекапу після взлому (повідомивши про це клієнта).

Доводилося зустрічати в Інтернеті твердження, де бекап називався головним захистом проти взломів. Мовляв більше нічого робити не треба, забивайте на безпеку, головне бекапи регулярно робіть. Це невірний підхід, як я вже зазначав.

А якщо дефейс був маленький і непримітний, або якщо не дефейс, а інший тип взлому (наприклад, для розміщення вірусів або з SEO метою), то його можуть і не скоро виявити, і навіть місяцями або роками буде висіти на сайті. При таких підходах, коли всі дірки лишають (і більшість навіть не спробує сайт закрити тимчасово чи змінити движок чи перейти на статичний html, в якості профілактичних мір), чимало з цих сайтів повторно стають жертвами атак.