Reutilización de contraseñas, contraseñas débiles, keyloggers, redes Wi-Fi compartidas, etc.
Registros de Nginx.
Si el atacante pudo haber obtenido una copia de seguridad, lo cual también requiere acceso al correo electrónico, consulta: What to do if your Discourse is compromised
Si no, un tema con banner o un tema en una categoría donde todos reciban notificaciones podría ser suficiente.