Обычный заобфусцированный шеллкод.
В конце кода видно обращение к curl, а потом fopen()+fwrite() - т.е. шелл умеет скачивать содержимое с указанного URL и записывать его в указанный файл на заражённом хостинге, предположительно для дальнейшего исполнения.
delphinpro в комментариях правильно написал: проверяйте дату изменения файлов (если хакер ленивый, он её не подправил и заражённые файлы будут новее), удаляйте шелл код отовсюду.
Я ещё добавлю: читайте логи вебсервера на предмет запросов к заражённым файлам, ищите хосты, которые обращались (наверняка китайские прокси). Потом ищите все запросы с этих хостов - если повезёт, поймёте как вас поломали. И в любом случае обновляйте вордпресс на последнюю версию, если это ещё не так.