tem vários componentes que permitem falhas de sql injection
dai os kra acessa teu banco jos e fode teu site...
veja esse site:
http://www.milw0rm.com/webapps.php
la tem uma lista exploits para falhas em módulos e componentes
inclusive até nego brasuca desenvolvedor dessas bostas,
intão velho, percebe-se que varias falhas são de coisas antigas
como o kra disse, mantenha atualizado, e tenta instala um módulo
pra evitar essas invasões, parece q o sh404 é bom pra isso
