se il resto del sito è in html statico i candidati numero uno sono il forum e il blog, anche se non erano linkati... basta che siano installati in una cartella con il nome di default.

Opzione meno probabile ma comunque possibile è una vulnerabiltà del server, per cui hai comunque fatto bene ad avvertire l'hoster.

Per ora ripristinerei il sito statico eliminando le parti dinamiche (blog e forum) se effettivamente non ti servono. Nel caso volessi tenerli verifica se sono state rese disponibili versioni più aggiornate.

Puoi anche cambiare password di accesso per l'FTP anche se è difficile che siano passati di lì... dipende dalla complessità dalla password che hai scelto.

Fare denuncia alla polpost è possibile anche se in questo caso non penso serva a molto...