A maneira mais comum de os sites serem invadidos ou desfigurados é a partir de plugins, temas ou componentes inseguros em vários softwares CMS (como WordPress, Joomla, Drupal, etc...)
Embora o CMS real seja muito seguro e quaisquer problemas de segurança geralmente sejam corrigidos muito rapidamente, os plugins e temas subjacentes geralmente não são atualizados ou mesmo verificados para ver se eles têm uma ou mais implicações de segurança.
O segundo método mais comum é um trojan instalado no computador principal do cliente que está a roubar senhas. Quando esse cliente faz o login na sua página cPanel, contas de e-mail ou faz carregamento de arquivos via FTP, a senha é enviada para hackers que começam a usá-la.
Existem três razões principais para os hackers invadir um site.
1) usá-lo para enviar e-mails de spam ou phishing.
2) ter acesso aos seus dados, mailing list, informações de cartão de crédito, etc.
3) obter acesso ao seu site e fazer com que ele baixe software malicioso na máquina do usuário final ou desejam instalar software malicioso para uso no seu site.
Software malicioso pode ser instalado para uso no seu site e pode ser instalado de forma que os seus usuários, sem saber, acabem com coisas instaladas nos seus computadores.
Um uso típico desse tipo de ataque é permitir ataques em larga escala. É preciso uma tonelada de computadores para fazer um ataque de negação de serviço adequado. O seu site invadido pode ser um deles. Ou talvez o hacker tenha como alvo outra entidade e esteja a usar o seu site (ou os computadores pessoais dos seus usuários) como pontos intermediários para a sua própria segurança pessoal.
Por que os hackers visam especificamente o WordPress? A resposta curta? Porque é muito popular.
Como mencionado anteriormente, o código principal do WordPress é seguro. Mas você pode torná-lo mais seguro seguindo algumas práticas simples. Como não ter um usuário chamado admin. E mover o seu arquivo wp-config.php para um diretório fora da sua raiz pública. Você nem precisa alterar nenhuma configuração para fazer isso – o WordPress procura por lá automaticamente. O WordPress tem um ótimo artigo de segurança no link abaixo:
https://codex.wordpress.org/Hardening_WordPress
