Büyük bir ihtimalle wp lerden bir tanesine backdoor yapıp shelleyip server a ulaşmışlardır.Çok klasik bir yöntem wp leri kontrol etmeni öneririm ayrıca diğer sistemlerede bakman gerekebilir.Ama bunu Cpanel'e bağlama çünkü Cpanel'in bir exploiti bulunmuyor.