Wordpress de açık yok diye birşey yok.Mutlaka birşeyler vardır.
Benim öngörüm ise şu şekilde;
Kullandığın tüm eklentilerde açık olabilir.Bunun için eklentilerini kaldırmanı yada güncellemeni ve güncellediysen chmod ayarlarını kısıtlamanı tavsiye ediyorum.
Diğer husus eğer sistemine shell atmışlarsa tüm dosyalarını tek tek kontrol etmeni rica ediyorum.Bizzat tarayıcında dene zira indirip antivirüs ile taratsan dahi bazı sheller bulunmuyor.
Eğer bunda da sonuç alamadıysan sorun sende değil aynı hıostingde bulunan başka bir sitedendir.O siteden girip senin sitene atlıyorlardır.Bunu engellemekte senin hostingini sağlayan kişiye kalır.