Вариантов масса, особенно без каких-либо входных данных. Проблема же может быть и не в WP. Лично мои предположения:
1. Мог остаться бэк дор после первого взлома
2. У взломщиков есть данные от админки/хостинга/ssl/бд (если вы это конечно всё не поменяли)
2.1. Кейлогер на пк администратора (такое тоже вполне реально)
3. Дыра могла быть в теме
4. То что вы обновили все плагины не означает что там залатали все дыры, возможно в каком-то из них всё ещё есть уязвимости
Используйте тогда в коде: $_SERVER['HTTP_ACCEPT_LANGUAGE']
Хук скорее всего такой: load_textdomain
Установить локаль можно через функцию setlocale, пример есть по этой ссылке: https://wp-kama.ru/function/get_locale
то нужно попросить сторонний сайт, чтобы он зарегистрировал клиента. В любом случае обратитесь к тому сайту, для предоставления информации как работать с их api
Не работал с фронтенд формами ACF, но я думаю что нужно добавить чекбоксы в ACF, найти хук "при обработке формы", и создать функцию, которая для каждого типа записи будет вызвать wp_insert_post()https://wp-kama.ru/function/wp_insert_post
Alexis_D, попробуйте все изображения перевести в webp формат, сам пока не пробовал но етсь вроде плагин WebP Express или Imagify — WebP & Image Compression который должен помочь
Alexis_D, 2 плагина кеширования лучше не ставить, т.к. это не только быстрее не будет работать, а могут ещё появятся какие-нибудь проблемы.
Количество плагинов может влиять на производительность, возможно какой-то 1 плагин стопорит систему.
Есть так же вероятность что проблема в самой теме.
Так же проблемой может быть сам сервер и его настройки.
Вариантов уж очень много.