WordPress fermo alla vecchia versione non sicura 4.5.4, plugin vecchi e ancora meno aggiornati: non si può dire che il tuo cliente sia in buone mani.
Indipendentemente che la causa attuale del mancato login sia un attacco hacker, devi in ogni caso aggiornare tutto perché il sito è a rischio, e ovviamente se ce ne fosse bisogno ripulire e cambiare tutte le password.
Questa e questa pagine ti possono aiutare per sapere cosa devi fare.