hallo,

Ich gehe nun davon aus, dass irgendWAS einen FTP-Zugang zum Server hat. Das grenzt das Problem ein und schliesst Sicherheitslücken im PHP-Code (z.b. mysql-injection) weitgehend aus aber auch nachdem ich das System bereitigt hätte, wäre diesem irgendWAS der FTP-Zugang noch bekannt und das Problem wird sich potentiell wiederholen. Ändere ich die Passwörter aller FTP-User stellt sich immernoch die Frage, wie ist das irgendWAS an den FTP-Zugang gekommen
und könnte das wieder passieren?

genauso ist es wohl.

Kann da tatsächlich nur der Kunde (oder sonstwer) mit dem Passwort unvorsichtig umgegangen sein

vermutlich. Da reicht schon dass Speichern des Passworts im Klienten, vor allem, wenn man eine Windose nutzt. Trojaner sniffen das gerne mal.

oder kann es vielleicht doch sein, dass 1&1 die undichte Stelle ist, bei denen sich irgendwelche Bots Zugang zum Kundenwebspace verschaffen können.

alles in allem eher unwahrscheinlich, wenn die Zugangsdaten einigermaßen sicher sind.

FTP-Passwort ändern, 1und1-Accountpasswort ändern, Wordpress updaten, Zugangsdaten nicht in FTP-Klienten speichern, bei Dir (falls windose) und Kunden Trojanercheck.