2013年、大手レンタルサーバにて、全ユーザーのWordPressウェブサイトが改ざん事件がありました。
侵入経路は非公開でしたが、ファイルアクセス権限の問題ではなく、ユーザーが導入した海外テーマもしくはpluginではないかと思っています。
テーマやpluginはPHPプログラムですし、インターネットから内部データへのアクセスを許しているようなものです。
動作の振る舞いの想定としては、なんらかのトリガーでプラグインが動作し、プログラムコードが埋め込まれるといった感じでしょう。
海外テーマやプラグインのインストールは慎重に!慎重に!導入しましょう!
入れる前にはソースチェックを心掛けましょう!