Первый делом меняйте пароли от хостинга, базы данных, смотрите чтоб в корне с сайтом не было открытых кому попала для записи директорий.

А вообще данное дело не из простых, могли Вам "накласть" даже в базу данных

Какая версия ядра? 

Все ли патчи стоят?

Но, как верно заметили выше, после того, как сайт взломан, вычистить его уже не просто. Где-то могут лежать кусочки кода для доступа к базе/сайта. Надо проверить файлы и базу данных.

Но если ломали не через сайт, а через сервер, то на сайте ничего не найдётся и надо сначала разбираться с сервером. Смотреть логи, пользователей и т.п.

Работы в таких случаях обычно занимают от 4 часов до нескольких дней, что не дёшево. Иногда целесообразнее восстановить резервную копию на тот момент, когда сайт не был взломан и ставить патчи.