Vamos, que por un XSS no te pueden descargar la base de datos.

Lo más común son las Sqli Injection, aunque también están los LFI y RFI que son un poco más complejos y menos comunes.

Debes de revisar que no haya ninguna shell subida a tu server que permita al cracker seguir manteniendo acceso, es decir, revisa que todos los archivos que estén en tu server hayan sido subidos por ti.

Existen herramientas para detectar vulnerabilidades, como Acunetix, pero necesitarías un par de tutoriales para conocer su funcionalidad.