WordPress es un sistema muy potente y seguro para sitios web, pero si este no está siempre actualizado, los hackers pueden entrar y hacerse del sitio web aprovechando alguna vulnerabilidad de una versión vieja. se recomienda tener siempre actualizado su versión de WordPress para evitar intromisiones y/o que usen su server para enviar correo masivo del tipo Pishing, además que contar con un backup periodico.
Es de conocimiento de muchos que las carpetas con permiso 777 son vulnerables a que suban scripts maliciosos, en el caso de WORDPRESS, esa carpeta es la UPLOADS (donde se suben las imágenes), lo ideal es poner una regla que evite la ejecución de ese tipo de archivos en esa carpeta, pero ese será un tema aparte que tocaré más adelante.
Por otro lado, Si tenemos un website basado en wordpress, una buena práctica es verificar siempre si han subido archivos PHP en la carpeta UPLOADS, para eso podemos ingresar vía cPANEL y con el administrador de archivos ubicarnos en : public_html/wp-content/uploads y ahí buscar si existen archivos con extension .php
Si hay archivos con extensión .php, lo más probable es que el sitio web esté infectado, se recomiendo ver siempre la cola de correos y ver si hay algún tipo de comportamiento atípico.
Ahora, eliminar esos archivos no nos garantiza una limpieza, ya que puede que estos hayan creados otros archivos en diferentes lugares, de ser ese el caso, deberá contactarse con un programador para que le haga una evaluación del sitio web y ver la manera de limpiarlo. o si tiene un backup anterior (que esté limpio), también puede subirlo, previa eliminación del que está actualmente