Pues .. bugg y fallos de seguridad tienen todas las aplicaciones que estan hechas y que hagamos .. Se van solventando con los correspondientes "parches" o sub-versiones que sacan los creadores de dichas aplicaciones ...

El caso es...

Estas seguro de que te está entrando a tu BD por esa aplicación? .. Recuerda que podría tener la contraseña de acceso a tu BD y usar tu própio panel de administración de tu BD (tal vez phpmyadmin? ..)

Yo de Uds. empezaría por cambiar las contraseñas de acceso de su BD y del FTP .. Así salen de dudas si le estan entrando por esa aplicación o directo a la BD ..

Tambien recuerden que no todo el "hacker" ha de ser "externo" .. podría ser uno de Uds. o viejo colaborador con acceso a esos datos de acceso a su Servidor ..

Un saludo,