Una respuesta completa a esta pregunta llenaría literalmente un libro sobre seguridad.
Pero te daré una respuesta mayormente completa aquí después de aclarar algunos puntos sobre lo que te sucedió:
Esto suena a que atacantes (no “spammers” - los spammers solo publicarían spam) pudieron explotar el foro Simple Machines y obtener acceso remoto a tu servidor en el que estaba alojado. Bloquear tu sitio solo impediría el acceso a él, en lugar de permitirles el acceso.
Presumiblemente, este servidor también alojaba otras cosas o contenía otros datos.
La mejor manera de pensar en esto es en términos de “radio de explosión”. En caso de que alguien obtuviera acceso de administrador indebido a tu foro, tendría acceso a todos los datos del foro.
En particular, información personal identificable (PII), pero también configuración u otros secretos de API. Por ejemplo, si otro servicio en tu dominio dependiera de este sitio para la autenticación, eso podría permitir a los atacantes pivotar a ese otro servicio.
En el peor de los casos, si un atacante obtuviera acceso a los servidores del backend (generalmente conocido como ejecución remota de código), el radio de explosión también incluiría todo lo accesible por la cuenta de usuario bajo la cual se ejecuta el servicio real. Varias protecciones para limitar ese radio de explosión, como la contenerización y la ejecución de servidores con credenciales no de administrador, también ayudan a limitar esa exposición.
En resumen, alojarse en un servicio administrado es lo más seguro para tu sitio, ya que somos responsables de la seguridad del sistema.