Eine pauschale Aussage ist da schlecht möglich.
Ich habe sie mehrfach gesäubert
Oft patchen Anwender die Malware, die sie sehen (oder mit einem Scanner auspüren) und übersehen dabei versteckte Backdoors in vermeintlichen JPG-Dateien. Das kann ein Grund sein (und das kann ein Grund sein). Andere Möglichkeiten: Du meldest dich über eine unverschlüsselte Verbindung im Back End an und jemand schreibt deine Zugangsdaten mit. Oder du verwendest ein FTP-Programm wie Filezilla, das meines Wissens Passwörter im Klartext speichert und dank eines Trojaners werden diese Daten direkt an den Angreifer weitergeleitet. Oder deine Passwörter sind einfach nicht sicher genug. Oder du verwendest ein Plugin mit einer Sicherheitslücke (oder sogar einer absichtlich eingebauten Backdoor). Oder … mir würden sicher noch andere Gemeinheiten einfallen, aber wie gesagt ist da eine pauschale Aussage nicht möglich.
WordPress Hardening durchgeführt etc. … habe aktuell Wordfence als Plugin laufen
Das hört sich grundsätzlich nicht schlecht an, hilft dir aber bei den o.g. Szenarien wenig.
Habt ihr irgendwelche Tipps womit man sich wehren/schützen kann?
Ein paar mögliche Schwachstellen habe ich bereits genannt. Eine bessere, aber auch mit Kosten verbundene Analyse liefern dir Anbieter wie Sucuri. Wenn das Webhosting auch etwas mehr kosten darf, kämen ein Managed Hosting z.B. von Savii oder Wir Lieben WP in Frage. Ansonsten: Regelmäßige, häufige Backups, damit man nach einem Angriff die Website rasch wiederherstellen (und einen Abgleich der angegriffenen Website mit den eigenen Dateien machen) kann.
