"Дырок" основных не так много.
а) Если речь о виртуальном хостинге – то это первая вероятная дырка. Через шелл или БД.
б) "Нулленый" шаблон или просто кривой шаблон. Их краулерами обнаруживают те, кто знает об уязвимости или сам "закладочку" вкрячил.
в) Плагины.
Попробуйте Wordfence установить. Как минимум, "закладки" в плагинах и шаблонах он находит. А на сайте у них информации по уязвимостям и проблемным шаблонам/плагинам - море. Я бы с этого начал.