e quali errori avrei potuto fare? Loro dicono che gli spammer si sono intrufolati attraverso qualche script php bucato...

Questo direi che è un errore. Hai usato un CMS o applicativo php poco sicuro, non lo hai eventualmente patchato, non hai usato le giuste limitazioni nelle configurazioni di apache. Esistono un sacco di pagine specifiche per la sicurezza delle applicazioni php. Se guardi su bugtraq i cms fanno la parte del leone nelle vulnerabilità individuate. Insomma. Pubblicare un sito in php necessità di numerosi accorgimenti.