HostEurope hat meine Seite gesperrt wg angeblicher Malware in Scripten. Kennt sich jemand mit WordPress aus?

HE meint, es wäre eine veraltete WP Version, die ein Einfallstor für die Malware gewesen sein könnte.
Hier läuft/lief 3.8.5
Ich hatte von Anfang an (anfang 2014) einen blinkenden Button in WP mit der Bitte um Update auf die aktuelle Version.
Die Firma, die ich die Seite habe machen lassen meinte, ich solle nicht Updaten, weil sonst die Seite eventuell ander aussehen könnte und einige Plugins nicht richtig laufen würden.

Da HE nun den Online Zugang gesperrt haben (FTP ist offen) kann ich ja nicht mehr einfach auf den Button für Updates klickern.
Kann man WP auch per FTP updaten???
----------
Danke und Tschüß
Udo