No ved ak ti zmeni jeden subor tak moze zmenit vsetky. Aj cez chybu v PHP, ktora napr. dovoli spustit prikaz systemu apod. Diera moze byt aj v PHP kode, aj v serveroch, to sa neda povedat kym ti to nepovie ten hacker :)
Najprv zaplatuj, ale skontrolujte si ten PHP kod, hlavne osetrenie vstupov (premenne, GET/POST) a pristupy do databazy (taktiez osetrenie vstupov).