Meus 2 cents,

Pelo que entendi, a empresa hospeda o site em local proprio, usando como CMS (gerenciador de conteudo) o wordpress.

Neste caso, o problema pode acontecer se o wordpress estiver configurado para multiplos subdominios (wp-config.php => define('WP_ALLOW_MULTISITE', true))

Alem disso, no servidor de DNS do dominio deve ter uma configuracao de wildcard (*) que aponta para o IP principal da hospedagem que acaba mandando para o wordpress.

De qualquer forma, o "como" acima descrito eh uma suposicao - mas o importante eh: sim, provavelmente o site/wordpress foi comprometido.

O ideal neste caso eh buscar um backup anterior ao problema (pelo menos 1 ou 2 dias antes, mas se o site nao eh alterado a muito tempo, um backup de 1 mes passado ou mais seria interessante) e restaurar.

Apos a restauracao, mudar as senhas e acompanhar.

Boa sorte !