Точно ли с хостинг аккаунта идёт спам?

WordPress старый? Плагины дополнительные стоят?
Нужно логи смотреть и хорошо в этом разбираться, по идее тех. поддержка хостинга это может сделать или системный администратор со стороны может попытаться.

Простой способ это настроить SPF на pdd yandex и там завести аккаунт, чтобы почту от имени домена мог слать только сервер яндекса с разрешения владельца.
На хостинг аккаунте запретить SMTP подключения и отправку почты через mail() и тому подобное, это как минимум на будущее.
Если не навредит, то запретить PHP обращаться к внешним ресурсам по http/socket и тому подобное, включать только для обновления wordpress.

Бывают в панели хостинга сканеры вирусов.
Ещё можно взять резервную копию файлов до взлома и сделать diff файлов, чтобы посмотреть куда и что добавили.