В случае с WP(да и другими движками) вполне вероятно, что в файлы движка дописан код шелла, через который злоумышленник может в любом момент совершать любые действия над сайтом. Тоже самое касается скрипта рассылки: может быть самостоятельным скриптом, может быть дописан в один(а то и во все) файлы движка.
p.s. через один сайт можно и другие заразить, если сайты на одном аккаунте. Не со всеми хостерами прокатит, конечно, но абсолютно реально.
p.s.2 обращайтесь в личку, помогу на безвозмездной основе :)
Как самый простейший вариант - переименовать файлы авторизации\директорию админки.
Чуть-сложнее, но еще более подходящий - basic auth 401
На уровне ПО можно сделать неплохую защиту от слабой\средней атаки, но мощную атаку ПО на сервере не остановит
