olegsharapov91

Есть white hat, есть black hat. Есть аудит от брендовых компаний вроде positive или groupib. Это всё, разумеется, и стоит немало, и зависит от объёмов работы и целей.

Если у тебя один простой сайт самописный, то относительно просто. А если целая CMS или большая инфраструктура, то и сложность, и время возрастут. И не очень понятно, что ты хочешь получить: бумажку, что у тебя всё хорошо, или до победного мучать хакера, чтобы он нашёл уязвимость в тех местах, в которых ты сомневаешься :)

В любом случае, посмотри в сторону сканеров безопасности вроде acunetix.com или metascan.ru, они делают то же самое, роют только по базовым знаниям, но автоматически. Это и быстрее, и дешевле.

Для вордпресса есть специальный сканер безопасности - WPScan (https://wpscan.org/). Он проверит твой сайт и его плагины на наличие дыр, если что-то будет критичное, то скажет что обновить. Правда, нужно скачивать и запускать у себя.

Если хочешь по-быстрому проверить, то можно онлайн с помощью https://metascan.ru или https://detectify.com, у них тоже нормальные результаты по wordpress уязвимостям.

Это был какой-то пользователь из-под прокси. Необязательно именно он был хакером, этим прокси мог пользоваться кто угодно.

Базовые рекомендации по защите:
1) Обновлять cms и плагины до актуальной версии
2) Установить плагины для безопасности
3) Проверить разрешения на папках веб-сервера, убрать лишние на запись и исполнение
4) Провериться онлайн утилитами https://detectify.com, https://metascan.ru, https://acunetix.com на наличие уязвимостей

Насчёт плагинов выше Natan всё правильно сказал. А вот антивирус тут бесполезен, это же веб-безопасность. Тут надо сканеры уязвимостей использовать, можно гуглить по слову DAST.

Из хороших с триалом советую https://detectify.com, https://metascan.ru, https://acunetix.com. По результатам поймёшь, каким образом тебя взломали: дыры, sql-инъекции, xss, забытые порты какие-нибудь, легкие пароли и так далее.