Андрей Пархоменко обычно проблемы кроются в косяках с настройками сайта, косяках с правами на файлы и каталоги или кривых плагинах/темах.
Почитайте о уязвимостях в
wordpress security white paper и
10 советов по безопасности WordPress.
На хабре почитайте про
выявление вредоносных PHP файлов, если сами не можете искать уязвимость, можете попробовать поискать ее плагинами или спец сервисами. Плагин
Theme Authenticity Checker (TAC) проверяет файлы темы, плагин
Exploit Scanner, плагин
Anti-Malware. Сразу кучу плагинов ставить не надо, ставьте по одному, ищите уязвимость - если не видит, отключайте и пробуйте другой плагин. На постоянной основе можете держать включенным какой-нибудь простенький плагин для мониторинга изменений в файлах и папках, что-то вроде
WordPress File Monitor (давно не обновлялся, но до сих пор исправно работает).
Попробуйте проверить свой сайт с помощью
яндекс Manul или сканер
AI-Bolit.
P.S.
Если есть подозрения, что доступ к Вашему сайту или аккаунту имеют третьи лица, то смените все пароли, начиная с паролей от хостинга заканчивая паролем админа в wordpress.
Регулярно делайте бекапы файлов и базы данных, и храните их как можно дольше на другом сервере.
