Le falle di sicurezza possono essere aperte anche da script senza controlli presenti nel tuo sito, oppure da siti "limitrofi".
Cioè da siti che sono nel tuo stesso spazio web e che hanno buchi clamorosi.
Io fossi in te contatterei comunque l'hoster per segnalare il problema... nel caso il problema fosse il loro.