Quando fui hackado (na altura era para meterem lá sites de phishing) só consegui parar que voltassem a hackar (foram duas vezes seguidas) depois de alterar todas as passwords (cPanel, site administrator, base de dados), limpar o PC de todo o tipo de virus, spyware, etc, e certificar-me que o site se encontrava totalmente actualizado.
Mas muda as passwords DEPOIS de limpares o(s) computador(es) que costuma usar para aceder ao site.