Михаил Есенин

Самые частые варианты:
1. Украдены логин/пароль из FTP-клиента/из браузера, затем прямой доступ использовали для изменения кода
2. Заливка шелла на сайт через формы с недостаточной фильтрацией
3. Заражённый модуль/обновление
4. Другие уязвимости сайта (например, SQL-инъекция)

Если разбираешься в коде, то изучить возможные дыры, проанализировав запросы, через которые взломали.
Если не разбираешься в коде, то попробовать натравить инструменты для поиска веб-уязвимостей, например:
- arachni
- w3af
Если нет возможности самому установить и разобраться, то можно воспользоваться онлайн-сканерами безопасности:
- METASCAN
- Detectify