Wir hatten mal den Fall, dass einem unserer Kunden seine Seite mehrmals hintereinander gehackt wurde.

Beim ersten Mal wurde das übliche Prozedere durchgespielt:
Rücksicherung aus dem Backup, neue Passwörter gesetzt und die eingesetzte PHP-Software auf den neuesten Stand gebracht.

Ein paar Tage später war die Seite wieder gehackt, also wurde diesmal die Seite durch eine provisorische statische HTML-Version ausgetauscht damit kein PHP mehr zum Einsatz kam, die Passwörter erneut gewechselt...

Und die Seite wurde wieder gehackt.

Des Rätsels Lösung war ein infizierter Rechner beim Kunden. So hatte der Angreifer immer alle neuen Passwörter sofort wieder griffbereit.

Es muss also nicht immer am Server und/oder PHP liegen. Auch ein Sniffer im (öffentlichen) WLAN reicht manchmal schon aus, wenn man mal "auf die Schnelle" was vom iPhone aus an der Seite macht und die Admin-GUI nicht per SSL verschlüsselt ist.

Viel Erfolg beim Wiederaufbau der Seite, Elmar!