网站好像中木马了如何处理？

这是我朋友 6 月初发生的，下述简称我进行描述。 情况：腾讯云提醒我有木马（存在于服务器根目录的 tmp 文件夹内），然后我去宝塔，把这个文件删了；然后第二天这个木马又有了（文件名字不一样，但是大差不差，后缀内容也一样），腾讯云又提醒我了，然后我把宝塔七里八里的安全软件（加固和防篡改软件等等）全部安装了，最近一个月腾讯云都没提示了。

环境：正版子比，开心宝塔 btsb ，安装了 nginx 防火墙和 wordfence ，Ubuntu 24.04.2 LTS (Noble Numbat) x86_64(Py3.7.16)，还有一些美化插件（都是正版，但不排除有漏洞或者后门），还有一些美化功能的文件（我自己也不清楚有哪些了，原先没记录）

1-我个人认知中，中毒要么是弱密码； nginx 或者主题或者 wp 等有漏洞；安装了有后门的插件；大佬们，我的这属于哪一种?

我的认知是：如果是宝塔开心或者插件有后门，那么攻击者完全没必要在根目录的 tmp 文件夹折腾，直接用 www 权限改我的网站内容不就行了（目前网站也无异常）。

问题：

1-如上，我认为后门情况可能性低，大概率是漏洞导致的，那么怎么找到这个漏洞在哪呢？我都开了 nginx 防火墙和 wordfence ，它是怎么绕过的，还是说没绕过，因为它没真正进入网站目录，只存在于根目录的 tmp 文件夹下，是哪个防火墙挡住它了吗？如何让它 tmp 都传不进来？

（我不太了解各个防火墙的起作用的时间点，所以有上述疑问，我问 ai 说 nginx 防火墙和 wordfence 会在文件上传到 tmp 临时文件夹前就起作用，如果这样的话，说明被绕过了，那是哪个防火墙阻止了目录进入网站目录呢？当时没开防篡改）

2-现在安装了加固和防篡改，腾讯云也已经不提示了危险，还需要管嘛？后续怎么操作才能保证安全？原先漏洞没挡住它进入 tmp ，现在什么宝塔安全软件都都装上了，它好像传不进 tmp 了（我的疑惑主要就是这个，如果我上述认知是正确的话，主要疑问就是：哪个防火墙起作用让它现在进不来 tmp 了，原先也有对应防火墙，为什么没起作用。）

3-数据库可能被植入木马吗？那些软件都可以扫网站木马，但是我不会怎么去判断数据库有没有被注入木马，求教怎么扫描数据库木马。

4-我的上述认知正确嘛。求大佬指点！！