help: website hacked

EDIT: spam zit in de browser niet in WP. Bericht mag verwijderd worden.

Hallo allemaal,

Ik werd gisteren onaangenaam verrast door twee berichten die via mijn contactformulier zijn ingevuld. Het was overduidelijk spam.
Ik dacht “ik zal reCaptcha maar eens inschakelen want hier zit ik niet op te wachten”.

Vanochtend logde ik in en wat zie ik, mijn complete dashboard vol met reclame. Bijna elke link linkt nu naar een externe website. Ook de front end is vervuild met reclame.

Ik gegoogled naar oplossingen. Zo ontdekte ik oa dat er twee gebruikers bij zijn gekomen die ik uiteraard meteen heb verwijderd.
Daarna wp-users tabel gecheckt om te zien of alle ongewenste gebruikers weg waren.
Het vreemde is dat ik de optie “iedereen kan registreren” heb uitgevinkt. Ik vermoed dat het door mijn contact formulier is gekomen.

Inmiddels heb ik reCaptcha aanstaan maar mijn website en dashboard zitten vol reclame.

Nu mijn vraag: hoe kom ik van die reclame af. Hoe komt die daar uberhaupt op. Zit het in de database? En vraag twee, wat kan ik nog meer doen om deze ellende in de toekomst te voorkomen?

check de url:
http://www.dehoutenfietskrat.nl/
Alvast bedankt voor de hulp