Blog gehackt

Heute morgen ein schönes Erlebnis:
Ich konnte mich im Backend des Blogs nicht mehr anmelden, auch über die Passwort vergessen Funktion erhielt ich keine Email. Das war mir irgendwie Suspekt und ich entschied mich via PHPmyadmin mal in wp_users zu schauen und da entdeckte ich ein vollkommen andere Emailadresse beim Admin.

Habe mir dann einen 2 Admin angelegt und mich eingeloggt.

Nun bin ich auf Suche, wie konnte dies laufen.

Wordpress aktuellste Version
Theme: Paalam 2.0
Plugins:


Plugin Version Plugin Version Akismet 2.2.3 Dagon Design Form Mailer 5.33 Exec-PHP 4.9 Follow-URL 1.0 Geo Mashup 1.1.3 Google XML Sitemaps 3.1.2 Landing sites (de) 2.3 de Math Comment Spam Protection 2.2 o42-clean-umlauts 0.2.0 Semmelstatz 3.1 Simple Tags 1.6.4 Simple Trackback Validation 2.1 Wordpress Code Editor 1.2 WordPress Database Backup 2.2.2 WP-Guestbook 2006-03-20

Jemand eine Idee, wo die Schwachstelle liegen könnte?