Повторное использование паролей, слабые пароли, кейлоггеры, общие сети Wi-Fi и т. д.
Логи Nginx.
Если злоумышленник мог получить доступ к резервной копии, для которой также требуется доступ к электронной почте, см. What to do if your Discourse is compromised
Если нет, то достаточно будет темы-баннера или темы в категории, где все пользователи получают уведомления.