スパムメールの送信踏み台にされてた問題は解消されたと思われます。
WordPressの更新とかでパーミッションが必要だったので変更したのが問題だったみたい。書き込み可能なディレクトリがあるとphpのスクリプトを送り込まれてそこから実行されて送信していたみたいです。必要に応じてパーミッションを変更し、対応が終わったら戻すということをやらないとダメって事ですね。テーマのカスタマイズもある意味やばいということですね。これも必要に応じてパーミッションを変更しようと思います。
有名すぎるソフトは攻撃対象になりやすいのも問題かも。別のCMSを試すのも時間を食われるし微妙なところ。