As causas mais comuns de seu site ter sido hackeado/invadido/pichado são:

1. Aplicação web não atualizada: todas os scripts mais populares, como WordPress, Joomla, phpBB, Drupal, etc., já tiveram bugs de segurança. Esses bugs são constantemente corrigidos e uma versão mais nova é lançada com essas correções (além de outras melhorias). Por isso você deve sempre atualizar suas aplicações para a versão mais recente, pois elas são mais seguras! Veja, por exemplo, como atualizar seu WordPress.

2. Plugins, extensões ou temas não atualizados: pelo mesmo motivo acima, esses componentes também devem ser atualizados sempre que uma versão nova surgir. Se não for usar algum plugin ou tema, desinstale-os em vez de simplesmente desativá-los.

3. Senhas fracas: os hackers estão constantemente tentando adivinhar senha do WordPress e outras aplicações de seu site, então senhas fracas são uma forma fácil de ter seu site invadido. Veja dicas de como criar senhas seguras.

4. Seu computador está infectado: se o computador que você usa para acessar seu site ou FTP, seja em casa ou no trabalho, estiver infectado com um vírus ou malware que roube senhas, seu site pode ser alterado, ter dados de usuários roubados ou carregarem arquivos maliciosos. Use sempre um anti-malware em seu computador.

5. Aplicações web abandonadas: scripts que não usa mais ficam sem atualização e manutenção. Por isso, conforme explicado no item 1, servem de "ponto de entrada" de invasões. Desinstale ou apague totalmente qualquer script ou diretório que não estiver usando da sua conta de hospedagem.

Se sua conta foi hackeada ou seu site pichado, por favor tenha em mente que não foi devido à falta de segurança do servidor ou do ambiente de hospedagem. Se outros sites do mesmo servidor não foram invadidos também, não temos motivos para crer que a integridade do sistema foi comprometida.