Ломанули сайт. Через что?

ЗЫ. сайт сейчас заблокирован хостингом за превышение трафика.
Хостинг давно, и уже несколько лет нового ничего не добавлял. Некоторое время (может месяц) обновил плагины. все работало.
Версия — последняя четверка (хм, а как без админки посмотреть версию?)
20.02.21 приходит письмо от хостера. что в папке /wp-content/maintenance/assets/images/подозрительный файл index.php
Вроде файл логичный, правда чего он делает в папке имадже?
Посмотрел дату — этот плагин как раз 20 февраля и поставился.
Сайт работал, но в админку попасть не мог, выдавало 404 ошибку.
Оказалось, что в файл .htaccess было дописано

<FilesMatch ".(py|exe|php)$">
 Order allow,deny
 Deny from all
</FilesMatch>
<FilesMatch "(^iR7SzrsOUEP.php|^wp-signups.php|^index.php|^aclass.api.php)$">
 Order allow,deny
 Allow from all
</FilesMatch>

Удалил — доступ к админке появился.
А через пару дней хостинг блокирнул сайт из-за превышения трафика. Стал разюираться, оказалось, что робот гугла (смотрел по IP) сделал сотни тысяч запросов, а т.к. страница 404 редиректится у меня на страницу поиска — то весь трафик был сожран.
Стал смотреть далее.
Лишний файл wp_signups.php также изменен index.php (эти два файла аналогичные по содержимому).
Ковырнул файл, его суть: как минимум отправка данных на http://fgm1031.milnn.xyz/org.php?domain=&page=&pr=&ip=&lg=&cur=wp-signups.php

Ну и вопросы: через какой плагин (или как могли ломануть?) как найти все ломанное и как обезопаситься?

• Тема изменена 2 года, 3 месяца назад пользователем Yui. Причина: please use CODE button for code formatting

Страница, с которой нужна помощь: [войдите, чтобы увидеть ссылку]