Originariamente inviato da Walessio
Se sei assolutamente sicuro che non abbiano i dati d'accesso FTP vuol dire che hanno usato un processo di upload dei file di quelli a disposizione nel sito stesso.

Visto che hai citato Wordpress, potrebbero aver usato una vulnerabilità nota di wordpress per ottenere questo risultato, ti conviene cercare aiuto nella documentazione e nei forum relativi a Wordpress perché è probabile che qualcun altro abbia avuto il tuo stesso problema e gli abbiano già suggerito una soluzione.

Riguardo l'xss, javascript non può effettuare upload di file, potrebbe richiamare un file su un server remoto ma questo non può scrivere file sul file system di un altro server.
Comunque un esame dei file e dei contenuti del db alla ricerca di script mascherati non farebbe male.
guarda... nel mio portale gli utenti possono pubblicizzare eventi, nel form c'e' la possibilità di fare l'upload di immagini relative l'evento; io controllo il formato, la dimensione del file... è per questo che inizialmente mi chiedevo se esiste un modo per evitare che possano inviarmi magari una jpg falsa che contiene uno script malevolo....