Сергей, уверен, что хватит знаний на то, чтобы понять какие функции можно ограничить, а какие нет, и что в итоге повлияет на работу сайта, а что нет? Сказали же: без шифрования движка практически никакой гарантии на защиту нет. Дали доступ в админку — дали доступ ко всему сайту априори.
Есть еще вариант: фигачить еще одну админку с крайне ограниченным функционалом или вообще во фронте сделать личный кабинет партнера. Второй вариант наиболее надежный, так как из контекста web в запросах MODX-тэги вырезаются, и вообще права более ограниченные. Это больше мороки в выполнении, но зато надежность почти полная.