Ninguém quer passar por uma situação destas, mas vêm se tornando assustadoramente mais comuns os casos de blogs em WordPress que são invadidos e que passam a servir de vetores de vírus e trojans.
São recomendações de costume manter o WordPress atualizado, dar acesso ao Dashboard e direito de envio de arquivos (uploads) apenas a pessoas de absoluta confiança e manter a senha de FTP em sigilo, além de usar senhas fortes em todas as ocasiões (saiba mais sobre senhas fortes neste artigo da Microsoft Brasil).
Seja como for, um invasor para conseguir acesso com privilégios suficientes para alterar arquivos e infectar um blog com vírus precisará executar alguma sorte de script que instale um tipo de painel de controle qualquer, ou — de maneira mais generalizada — que efetivamente abra as portas para o invasor fazer o que quiser.
Os invasores na maioria das vezes alcançam este intento utilizando falhas na implementação do xml-rpc (razão pela qual sempre que possível ele deve permanecer desativado no WordPress), ou por meio do envio de um script disfarçado de imagem. Uma vez que o pilantra tenha conseguido enviar o arquivo basta abri-lo no navegador para assumir controle da conta do usuário.
CDNFácil
O serviço de CDNFácil foi descontinuado.
Veja mais detalhes aqui: Fim do Ciclo de vida da CDNFácil.
Usuários do serviço CDNFácil estão automaticamente protegidos da execução de scripts em seus diretórios de uploads.
Caso precise de ajuda, abra um ticket de suporte e teremos prazer em ajudar.