Если нет желания или возможности копаться в файлах и искать внедренный код, можно поступить глобально.
Сохраните только необходимые файлы и папки, например wp-config.php, папку uploads (обычно туда загружаются медиафайлы). Если есть еще какие то очень важные для вас файлы, то их тоже. Но их должно быть минимум, что бы просмотреть их код и исключить вероятность заражения.
Скачайте дистрибутив WorPress с официального сайта, желательно той версии, которая у вас сейчас установлена, а также все плагины, которые у вас установлены.
Скопируйте в скачанный дистрибутив все сохраненные файлы, папки и скачанные плагины.
Потом удалите полностью сайт с хостинга и залейте туда новый, который собрали из скачанного дистрибутива.
Делайте все аккуратно, не торопитесь. На время удаления сайта с хостинга и заливки нового, добавьте в начало файла .htaccess, в корне сайта, код, чтобы исключить доступ посетителей на сайт во время этих операций:
Deny from All // запрещаем всем доступ к сайту
Allow from ваш IP // разрешаем доступ определенному IP адресу
После завершения работ, удалите добавленный в .htaccess код.
Смысл всего этого действа - оставить только файлы, которые трудно или невозможно восстановить, все остальное заменить новыми.
Что касается взломанных аккаунтов, то через phpMyAdmin нужно изменить пароли к ним и вернуть доступ себе.
Также необходимо сменить все пароли к хостингу, учетным записям сайта и т.д.
Как то так примерно.
