Cierto, lo siento Raul.
De echo pensé que los ataques eran masivos. Pero si solo recibís estas cosas entonces claramente están probando vulnerabilidades en tu site.

Si hubieras tenido puesto filter PHP en ese formulario se hubiera liado toda tu web. No se si hay manera de ponerlo (si usas webform para formulario de contacto creo que si), pero claramente están buscando vulnerabilidades en tu web.
Si fuera full html no se hubiera roto nada, solo si usas PHP filter, que te permite poner código PHP en tus campos de texto.

Saludos.