birde şöyle config dosyanızdaki mysql şifreniz ile admin şifreniz aynı ise ordan şifreyi öğrenip giriş yapmış olabilirler. Şimdilik temayı editleyemezler, şifrenizi de bilemezlerse, sql injection açığı da yoksa güvende olmalısınız