Reutilização de senhas, senhas fracas, keyloggers, redes Wi-Fi compartilhadas, etc.
Logs do Nginx.
Se o ataque pode ter obtido um backup, que também precisa de acesso ao e-mail, consulte What to do if your Discourse is compromised
Se não, um tópico em destaque ou um tópico em uma categoria onde todos são notificados pode ser suficiente.