Почему могут создаваться посты Wordpress спам харрактера без ведома владельца?

Наверное потому-что вы установили какой-то платный плагин БЕСПЛАТНО и вас по нему взломали или наверное вы установили плагин которому больше лет чем вам или вы просто пользуетесь чем-то у кого есть дыра в безопасности. А с чего это вас должны уведомлять об спаме? Как вы это себе представляете?)

Поменяйте все доступы, не пользуйтесь FTP вообще. Только SFTP.
На хостинге сделайте доступ по вашему IP и поменяйте все пароли на более защищенные.
И смените наконец логин администратора не admin, а какой-то vladelestopwebsaita228vasyapupkinomg.
Также можно поставить доступ в админку с другой ссылки, а не wp-admin.

Почитайте в интернете статьи по теме "Безопасность WordPress" + всё те рекомендации, что дали предыдущие ораторы.

Взломать могли не только через ломаные плагины и темы, но также через известные уязвимости. Варианты есть.

Если есть админер, то сносите его нафиг. Сегодня в одной конфе уже тема поднималась по этому поводу.

Проверьте антивирусами, например, айболитом - он может показать, что где хакнуто.