FTPやWebDAVなどを使ってHPの更新を行っている場合、アカウント情報を得て、そのアカウント情報を使ってHPを書き換えつ手法があります。ポイントはアカウント情報を得る方法ですが・・・
メールでパスワード等が暗号化されずに使われているのを良く見かけます。またスパイ活動は、セキュリティの甘いオフィイスや制服着用の工場やオフィイス外での食事中の会話等からセキュリティ情報を収集するという古典的な方法です。
この他に、HPが動的なページ、例えばWordPressなどに代表されるような、システムで作成されている場合、そのセキュリティホールを使って改ざんする方法もあります。そうしたシムテムの場合、多くはSQLデータベースエンジンを使っているので、SQLインジェクションという手法を用いて改ざん、あるいは改ざんに必要なアカウント情報を得て改ざんに使用するなどの方法が考えられます。こうしたシステムは、正に、はてなが利用している方法ですので、はてなのサイト管理側では、こうした攻撃に対応しているはずです。
この他に、サーバにご意見箱等が設置されているような場合や、ファイルをアップロードできるようになっているサイトの場合、まずセキュリティホールを作り出すプログラムを送り込み、それを実行させる事が成功すれば、そのプログラムを通じてHPを改ざんします。
他にも方法は沢山あり、列挙するだけで本が書けてしまうと思いますが、主な方法は上記のようなものだと思います。
ベタな手法としてはFTPの乗っ取りがありますね。
未だ多くのホスティングサーバでは、データ更新にFTPを使用していると思います。
FTPのアクセスはパスワードで管理されているため一見安全に思われますが,
このパスワード実は何の暗号化もかけずにサーバに送信されているんです。
中継地点で盗聴されたら一発でアウト、ですよね。
よく言われる対策法としてはFTPを使用しないこと。
そしてより安全なSFTPやFTPSを使用する事、などが上げられます。
廉価なホスティングサービスでは,FTPしか用意されてない場合が多く,
中々対策も難しいかと思いますが…
サーバ管理が可能なVPSとかになってくるともっと広範にセキュリティ対策を
講じることもかのうになってきますね。