Оказывается сайт долгое время жил с хорошей брешью в обороне, заключающейся в том, что при совпадении имени пользователя, сайт допускал к управлению кого угодно. И, судя по всему, открыт всем ветрам он был уже очень давно. Однако, никто этим так и не воспользовался.

Из-за чего это произошло? Судя по всему, виной этому стало обновление wordpress, а плугины, подключенные к нему, остались старыми, что в совокупности и дало такой эффект.

Сейчас же всё в порядке, но надо быть начеку. Админка нового wordpress мне нравится больше.