Михаил Есенин

Кроме комплексного аудита, как посоветовали выше, советую регулярный мониторинг безопасности. Грубо говоря, сервис, который раз в неделю проверяет, что у вас нет дыр в старом коде и не появился новый код с уязвимостями. Это умеют делать многие сканеры, например, metascan или detectify.

Выше всё верно пояснили про Wordpress, его плагины и темы. Могу ещё добавить, что при недостаточных ресурсах на хостинге или нежелании покупать на полноценное использование плагины по безопасности можно проверить сайт снаружи, т.н. black box, чем-то специфическим, специально для WP. Навскидку, это:
- https://wprecon.com
- https://metascan.ru
- https://hackertarget.com/wordpress-security-scan/

Поддерживаю насчёт бэкапа - это раз.
Есть всё это произошло практически одномоментно, то стоит воспринимать это как целевую атаку, а не случайность, и защитить себя от фишинга - это два.
Третье - если нет уверенности в том, что в сайте нет дыр, то не ждать пока взломают, а просканироваться acunetix.com, metascan.ru, pentest-tools.com снаружи для проверки инъекций и так далее.

Насчёт уличить - увы, тут либо иб-криминалистов привлекать, либо думать кому вы насолили.

Есть такая программа: Router Scan, она как раз позволяет сканировать IP роутеров и пробовать их взломать, используя известные уязвимости и дыры в безопасности.

Как ни странно, многие роутеры ломаются подобным образом. После чего их используют как бесплатные VPN-сервера и прокси серверы, например, или даже подменяют DNS-сервера на свои (так можно подменить адреса известных сайтов).

В общем, крайне советую проверить этой программой.

https://acunetix.com
https://metascan.ru
www.arachni-scanner.com

Взломать могут через web-приложение, найдя SQL-инъекцию в коде. Это часто бывает в самописных CMS на PHP, где пренебрегают использованием синтаксиса параметров для запроса и делают простое сложение строк.

Есть подозрение, что взломали? Проверьте свой код, проверьте своё приложение. Для этого каждый URL, где есть какие-либо параметры, прогоните через sqlmap - специальная программа для поиска таких уязвимостей. Если не поможет или слишком долго, то попробуйте онлайн сканерами вроде metascan.ru и detectify.com.

И самое банальное - меняйте пароли доступа и делайте ограничение на вход по порту 3306 (mysql), если есть такая возможность.

1. Не стоит. Факт того, что ты закрылся от сканеров, не избавляет тебя от уязвимостей. Принцип Security through obscurity выходит, а его надо избегать в таких вопросах.
2. Стоит, но это не панацея. Вот инструкция по настройке.
3. Я бы проверил бы сам себя этими сканерами, чтобы увидеть отчёт о проблемах! И ручными инструментами, конечно же. Из того, что следует попробовать: Acunetix, METASCAN, Detectify. И не забудь CMS обновить!

Гугли по запросу "shell upload", если же хочешь конкретно продемонстировать, где была уязвимость, то советую просканировать сайт X-Spider или METASCAN, чтобы показать авторам дыры в их коде.

Насчёт защиты ты прав, как минимум надо ограничить запись и выполнение. Советую прочесть все возможные меры защиты от заливке шеллов в вики OWASP, пункт Prevention Methods.