Sin duda, eso puede ser un problema. Por algo siempre se evita el modificar los archivos del paquete y las modificaciones se hacen sobre la plantilla y poco más.
Irrompible no es, lamentablemente ningún sistema está en esa categoría.
A lo sumo podría protegerte de algún fallo que pueda llegar a tener algún archivo dentro de la carpeta de administración, evitando que se lo acceda directamente. Pero nada más. Sigue siendo una protección con usuario y contraseña.

Sí, pero si hacés eso será imposible para el servidor incluir ese archivo, y por lo tanto no te funcionará el sitio

Por lo general en estas situaciones suele implementarse alguna clase de autentificación de dos factores (en inglés Two factor authentication). Esto es: vos probás que sos quien decís ser utilizando no solamente tu usuario/contraseña sino también alguna otra cosa. Entonces, si una petición al panel de control tiene la contraseña correcta pero viene de una IP o una red diferente a la que utilizás siempre, no se permite pasar (o se implementa alguna clase de contraseña secundaria)

Para el "segundo factor" podés usar:
- Dirección IP (o rango de direcciones)
- País de origen
- Hora del día (¿te conectás al panel a las 5AM? )
- Navegador / SO y sus versiones (quizás podrías configurar el navegador para que en su cabecera User-Agent envíe algo que solamente vos conozcas)
- cualquier otra cosa que se te ocurra

Todas estas opciones limitan un poco la practicidad y la libertad del ingreso al panel (¿qué pasa si un día viajás a otro país y querés conectarte?) pero la seguridad suele estar siempre enfrentada a la practicidad y la libertad.

Quiero dejar claro que al no ser usuario de Joomla, no sé cómo podrías implementar estas cosas, aunque seguramente alguien lo haya pensado ya y lo haya hecho módulo.

Saludos