Языки - никаких не надо знать. Достаточно грамотно настроить программы.
Nginx - настройки оптимизации (кеширование, keepalive, gzip, количество воркеров), и безопасности (сервак не должен ложиться под дос-атаками и выполнять php, загруженный под видом картинки). Уметь пользоваться Rewritemode.
MySQL - настройки кеширования (размер кеша, количество таблиц в кеше).
PHP - Memcache/Xcache для кеширования результатов запросов к php. Настройка заключается в основном в выставлении размера кеша.
Wordpress - знание основных атак и установка плагинов от них (из популярных атак - брутфорс пароля к админке и xml-rpc атака).
Ротация логов - чтобы место на диске не закончилось от распухших логов.
Fail2Ban - чтобы не забрутфорсили пароли к ftp, smtp, ssh.
Опционально - установка системы мониторинга (Zabbix, Nagios) для отслеживания работы служб (nginx, mysql и другие необходимые) и доступности сайта.
Из утилит нагрузочного тестирования простейшая - ApacheBench (просто шлёт n запросов на одну страницу), покруче - Jmeter (с возможностью записывания сценариев).

1. Обновление движка. Регулярно выпускаются обновления безопасноти, закрывающие дыры в функционале движка. Если обновления не ставить - Вас регулярно будут ломать.
2. Права на папки 755, права на файлы 644 и никак иначе.
3. Разные владельцы для разных сайтов. Если сделаете несколько сайтов под одним владельцем - есть риск заражения всех сайтов.
4. Никаких левых плагинов с непонятных сайтов. Только офф плагины и аддоны.
5. Анализ логов доступа к сайту. Спросите у хостера, когда начала проявляться активность - и просмотрите POST запросы к Вашему сайту в админскую директорию. Анализ логов позволит установить айпишник злоумышленника и уязвимость.
6. Скачайте свежий бекап сайта к себе на компьютер и прогоните его антивирусом - простейшие инъекции почти любой антивирь найдёт. Особая рекомендация - если есть комп с ОС Линукс, используйте Maldet - ориентирован на безопасность сайтов.
habrahabr.ru/post/194346
7. Следите за тем, чтобы на тех компах, с которых Вы заходите, не было вирусов. Никогда не сохраняйте пароли в браузере и в фтп-клиентах.
8. Нет, смена паролей не помогает, если вредоносный файл был занесён через уязвимость. Помогает соблюдение вышеописанных правил + использование актуальной, регулярно обновляемой версии движка.
9. Ограничьте доступв админку сайта, панели управления хостинга по айпишнику (то есть оставив вход только со своих айпишников) - бережёного б-г бережёт.

Есть мнение, что пакетный менеджер CentOS (yum) лучше управляет зависимостями, чем пакетные менеджеры Debian (apt-get).
У Убунту есть user-friendly сайт поддержки на русском языке. Если плохо с английский - то наличие русского коммьюнити важно.
У самого долгое время был Дебиан, но позже перешёл на CentOS.
По факту - если берёте систему для веб-сервера, то разницы между дистрибутивами даже не заметите - те же программы, та же организация файловых каталогов.

Скорее всего, он лежит в файлах типа index.html или инструкция по подгрузке стороннего фрейма лежит в файлах .php. Но вообще, может быть практически где угодно.
Самого кода Вы не найдёте - в файле хранится только ссылка на отображение содержимого со стороннего ресурса (в данном случае - от bigmedia).
Советую прописать исключение для домена bigmedia в .htaccess.
А лучше - определить, с каких ресурсов подгружается реклама (через инструменты разработчика в браузере - инструмент "Сеть") и произвести поиск по доменному имени в файлах.