Los motivos más comunes para que una página haya acabado infectada son los siguientes:
Aplicación web desactualizada. Muchas actualizaciones para aplicaciones web (Joomla!, WordPress, Drupal, etc) incluyen diversos parches de seguridad, y es muy importante mantener siempre actualizada la aplicación web a la última versión. De esta forma te aseguras de que las vulnerabilidades del núcleo de la aplicación están parcheadas.
Extensiones de la aplicación web desactualizadas. Si has instalado alguna extensión/plugin/módulo/tema en tu página web, debes de mantener sus versiones a las últimas posibles, al igual que se hace con la aplicación web. Las extensiones son también actualizadas con regularidad para solucionar posibles problemas de seguridad.
Contraseñas débiles (poco seguras) del administrador/usuario. Debes asegurarte de que todos los usuarios de tu página web utilizan contraseñas fuertes, especialmente los administradores y aquellos que tienen permisos para administrar y crear contenido en tu página. Si tu página web ya ha sido infectada, asegúrate de actualizar las contraseñas de estos usuarios y evitar que los hackers puedan hacer uso de ellas.
Contraseñas débiles (poco seguras) del Panel/Cuentas de FTP. Al igual que los usuarios de la aplicación web, debes asegurarte de que las contraseñas de tu panel y cuentas de FTP son fuertes y no es fácil averiguarlas. Al igual que con las páginas web, asegúrate de actualizar estas contraseñas en caso de que tu página ya haya sido infectada.
Infección a nivel local. Algunos virus/gusanos en ordenadores son conocidos por ser capaces de robar el acceso a cuentas de FTP, y añadir de esta forma archivos maliciosos al código de una página web. Para prevenir esto, asegúrate de tener siempre un antivirus actualizada a su última versión, así como realizar escáner de antivirus de manera frecuente.