Тема эта очень старая, но все равно актуальная. Обратился товарищ, взломали ему сразу несколько сайтов. 99% причина взлома — старая версия MODX-а (стоит 2.2.10, хотя актуальная — 2.2.16). Установили в систему плагин Core Services с милым описанием «MODx Revolution XPDo Core Services»:) Понятно дело, что «плагин» этот много что может делать, ибо eval, но одна из основных задач — фигачить ссылки на страницах ваших сайтов. В общем, не забывайте обновляться.