Solitamente questi personaggi utilizzano le vulnerabilità di questi strumenti per entrare nel database o addirittura nel server. Ritengo tu abbia solo un hosting, per cui questo aspetto lo metterei da parte.
Poiché mi dici che hai cambiato la password di wordpress credo abbiano bucato direttamente il database, oppure hanno creato pagine di accesso diretto.
Cambia password al db e poi cerca in tutto il sito queste pagine create ad arte.

A me è successo con Magento.