سلام
به نظر من دو احتمال هست:
1.یکی از افزونه ها که از جای نامطمئن گرفته شده این کار رو انجام میده (حتی از سایت های اسکریپت ایرانی هم نباید افزونه وردپرس دانلود کنید افزونه وردپرس فقط از wordpress.org باید دانلود بشه.).
2.یکی از افزونه ها یا حتی قالبتون باگ SQL Injection داره که به هکر اجازه میده دستور SQL دلخواهش رو به دیتابیس تزریق کنه.در این زمینه اگر پیشوند جداول دیتابیستون به جای wp چیز دیگه ای بود درصد این کار کاهش میافت.