Версия wordpress хоть обновлена? что помимо него запущено на хостинге, какие сетевые службы? пароли хорошие? поменяй ключи доступа ssh, так как утянув его один раз подключаться можно потом без пароля сколько угодно.
Дыр, через которые можно проникнуть на не обслуживаемый администратором хостинг, столько что невозможно сказать какая именно была эксплуатирована.
p.s. можно попробовать используя утилиты inotify, настроить логирование записей в файлы, как минимум отследишь когда это происходило и каким процессом/логином (в идеале пиши лог прямо по ssh на другой сервер, так злоумышленник не сможет этот лог изменить), затем совместить эту информацию с логами веб сервера, хотя бы получишь информацию через что именно проникает злоумышленник
А вообще сервер должен быть настроен на - запрещено все кроме того что разрешено, нетиповая конфигурация ssh (я видел ситуацию, когда доступ к ssh был только через локальную сеть, в которой былы вторая машина в этом же или соседнем датацентре, через vpn), в идеале через прокси (обычно antiddos провайдер используют, проксируя запросы клиеинтов через него а к самому серверу доступа ни у кого не должно быть и он должен быть секретным)
высшим пилотажем должны стать ограничение доступа к интернету с машины и read only файловая система с кодом, тогда даже если злоумышленник сумеет пройти через какую то дыру, ему будет сложнее управлять трояном
