Нужно разобраться действительно ли был взломан аккаунт

Здравствуйте! 
Нужно разобраться действительно ли был взломан аккаунт 
сайт photoexotica.ru  на cms wordpress

От хоста регулярно получаю следующее сообщения , с ссылкой на разные файлы 
вот эти файлы 
photoexotica.ru/wp-content/themes/forgallery/shwso.php
photoexotica.ru/wp-content/themes/db.php
photoexotica.ru/lidicn.php
photoexotica.ru/systes.php

Хост может предоставить логи запросов к сайтам, и логи FTP соединений 


На вашем аккаунте обнаружены файлы, содержащие вредоносный код.
Используя данное вредоносное программное обеспечение, злоумышленники производят атаки сторонних серверов, рассылку спама и другие вредоносные действия. Файлы, содержащие вредоносный код, были доступны по ссылкам:

photoexotica.ru/wp-content/themes/db.php

Мы заблокировали доступ к этим файлам и возможность отправки писем с сервера для вашего аккаунта.
Наиболее вероятно, что присутствие файлов является результатом взлома вашего аккаунта, поэтому с вашей стороны требуется провести аудит безопасности для предупреждения повторения проблемы. О принятых мерах вам необходимо сообщить нам в рамках данного обращения для дальнейшего снятия наложенных санкций. Вам следует понимать, что удаление указанных файлов не является решением проблемы. Вам нужно найти уязвимость, с помощью которой они были внедрены, и устранить ее. Повторение ситуации будет означать блокировку всех сайтов на аккаунте.
Обратную связь по проблеме вы можете получить в рамках данного обращения.
Если в течение недели мы не получим от вас обратной связи по данной проблеме, и нами будут зафиксированы новые факты размещения вредоносного кода на вашем аккаунте мы будем вынуждены полностью заблокировать доступ к зараженным сайтам.

Нужна помощь в устранении проблемы.