Selamlar,
Genelde opencart, wordpress, joomla vb. tarzdaki sistemlerde eklenti ve önceki sürümlerde güvenlik açıkları mevcuttur. Eğer sunucunuzdan bir siteden server geçilmediyse.
Altı çizili yerdeki söylediğim şey tek sitelik bir VPS değil ise geçerli. yani atıyorum sizin sunucunuzda 3 site var bunlardan herhangi birisi herhangi bir neden ile hacklenip şellendikten sonra bazı methodlar ile sunucu bypass edilip, target sitenin configini çekip okuma işlemi yapılabilir.
Sadece config'den bahsemiyoruz burada direk public_html çekilip PhpmyAdmin üzerindeki SQL'e yine şel yardımıyla bağlanılabilir. - Ki böyle bir işlem yaptığında sizin bir nevi public_html'inize erişmiş olunuyor. / yazma izni olan klasöre dosya falan upladıktan sonra zaten kendi sitesi gibi kullanabiliyor.