Üblicherweise wird durch Ausprobieren von Zugangsdaten oder Sicherheitslücken Zugang zum Webserver/Datenbank/Wordpress erlangt.
Danach haben diese Leute den gleichen Zugriff auf den Server wie Du selber.
Nun könnten sie Deine Seite und Daten löschen/ändern/manipulieren, aber das ist, wenn es nicht gerade um eine öffentlich bekannte und wichtige Seite geht, uninteressant und wird daher nicht gemacht.
Die installieren dann eher parallel andere Webseiten/Skripte, um über andere Wege Spam/Malware zu verteilen oder Angriffe zu fahren.
An Deiner eigentlichen Webseite findet dann keine Änderung statt, so dass das auch nicht direkt auffällt.
Die nutzen nur den von Dir bezahlten Server und den Leumund Deiner Domain.
Beispiel:
Vor einiger Zeit kamen vermehrt Spam-E-Mails, dass sich irgendwelche Frauen (Nachbarinnen, Studentinnen etc.) unbedingt mit einem treffen wollen. In der Mail war dann ein Link mit weiteren Informationen.
Dieser Link führte zu einer auf den ersten Blick völlig harmlosen URL, z.B. www.xyz.xy/link.php
Hat man diese Domain ohne das angehängte "link.php" aufgerufen, bekam man völlig normale und legitime Webseiten von kleinen Firmen, Künstlern, Privatleuten etc. zu sehen. Meist waren das Wordpress-Seiten.
Hat man aber die komplette URL aufgerufen, dann bekam man eben die Seite mit einschlägigen Angeboten zu sehen.
Die "Bösen" haben also neben den vorhandenen seriösen Wordpress-Seiten noch parallel eben Sachen installiert, die auf normalen Weg und innerhalb von Wordpress nicht sichtbar waren.
Das ganze ist neben der Nutzung der fremden Ressourcen auch deshalb interessant, weil diese Mails dann oft durch die Spam-Filter kamen, denn der Link führte ja zu einer nicht auffällig gewordenen URL.
Es kam aber auch vor, dass in die die Wordpress-Seiten Skripte integriert wurden, die Cryptowährung schürfen oder Malware installieren oder oder oder...
Deshalb ja:
Wer eine öffentlich erreichbare Webseite betreibt, sollte schon wissen, was er da tut.