念のため完全ウイルスチェックをかけてみました。swfu/dとswfu/jsにTary.phpが検知され、ウイルスと判定削除されました。
　サーバーから該当ファイルを消して、全部ダウンロードして、再度ウイルスチェック中です。
　swfuも要注意ですね。気づいて良かったです。これも運営に通報かな。

　ここに情報があります。
http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-006025.html

https://sourceforge.net/projects/swfupload.mirror/
でLast Update:のファイルをを取ってきて入れ替えてみました。動作は問題なしです。
これでver.2.5.0.beta3.2になります。
脆弱性はSWFUpload 2.2.0.1 およびそれ以前なので，対処できたのでしょうか？

情報をみると管理者以外がログイン出来ない状況ではswfuの
脆弱性はこのTray.phpの件とは少し違うような気もします。

#article プラグインなどの脆弱性から管理者ログインされ
その上でphpプログラムをアップロードされたと言うことかも
しれません。任意のphpプログラムがアップロードされた
場合は、この手のCMSは何でも出来てしまいます。
最近は、管理者に分からないようにこっそりと動いて
悪用されます。
HAIKの設定をよく見ていませんが、.htaccessを準備して、
swfu/d や swfu/jsフォルダのphpファイルは実行出来ない
ようにするのも対策のひとつです。こうすると万が一
phpプログラムがアップロードされても実行出来ません。
.htaccessを設置するなら念の為、Perlのplやcgiの拡張子の
ファイルも実行出来ないように設定するのが良いと思います。

アップデートが公開されていて問題なく使えるようなら
差し替えた方がいいのでしょうね。

　#articleは掲示板設置のプラグインですよね。私のサイトでは掲示板を設置したことはないので、#article経由は考えにくいです。
　今週のバックアップダウンロードで、セキュリティの警告が出て何かを削除したと出たので、おかしいと気がつき全ファイル検査してみました。ダウンロード先ではブロックされたので、自分のPCにはダウンロードされませんが、サーバーの中には残っていたのでFFFTPで削除しました。
　いままで無かったことなので最近仕込まれた可能性が高そうです。とりあえず駆除できたので、今後は監視を強めたいと思います。

QHMやHAIKのindex.phpのあるフォルダにある.htaccessを参考にすると

# Prohibit direct access
<FilesMatch "\.(ini\.php|lng\.php|txt|gz|tgz|php|pl|cgi)$">
Order allow,deny
Deny from all
</FilesMatch>


と言った内容をswfu/d と swfu/js の.htaccessに追加しておくと
良いと思います。

なお、動作は未確認です。.htaccessは文法ミスをすると
そのフォルダ以下にアクセスできなくなります。

今サーバーにあるswfuフォルダの.htaccsessの中身を見たところ、

# Prohibit direct access
<FilesMatch "\.(ini\.php|lng\.php|txt|gz|tgz)$">
Order allow,deny
Allow from all
</FilesMatch>

となっていましたが、これは大丈夫なのでしょうか？全部許可というような内容に見えます。

この中の最後の行のallowをDenyに書き換えて上書きしてみました。
動作に問題はありませんでした。
それ以上の書き換えは、他で動作テストしてみないと怖いので、後で考えます。

haikのアップデートで解決済みとしておきます。