Cita:
Iniciado por Malenko 
Simplemente con tener un permiso de escritura mal puesto en un directorio te pueden subir un script en php que borre el contenido de la carpeta wp-admin. No hace falta acceso por ftp, simplemente lanzar un comando PUT a nivel de HTTP y te han hackeado ;)
Creo que por aquí estaban mis vulnerabilidades ...
permisos inadecuados, prefijo de base de datos por defecto, usuario admin ... cosas que ya he corregido oportunamente a partir de esta mala experiencia ...
gracias a todos por los comentarios