Wordpress довольно часто подвергается взломам, и большей частью благодаря установленным дополнениям, которые пользователь не обновляет. В декабре была найдена уязвимость в популярном модуле ( редактор текста, точно не помню какой ), через который ботами заливают shell на сервера.
Если заливали действительно через уязвимость в Wordpress или его дополнении, то можно сделать поиск по файлам через find, примерно так:
find /WWWDIR \( -name "*.php" -o -name "*.html" -o -name "*.htm" \) -exec egrep -Hni 'gzinflate\(base64_decode|eval\(base64_decodeshell_exece|doced_46esab|eval\(' {} \; | cut -c 1-150
WWWDIR — каталог где у Вас сайт располагается.
Советую проверить в настройках апача ( если перед ним нет nginx, раздающего статику ), есть ли для файлов типа *.png, *.html и т.п. x-httpd-php Aplication Type, ну и в .htaccess так же проверить через find
find /WWWDIR -name ".htaccess" -exec egrep -iHnr 'application\/x-httpd-php .*(gif|html|jpeg|jpg|doc|txt)' {} \;
Можно сканировать вобще по всем файлам.
Если у Вас на сервере на апаче много сайтов и все работают от одного пользователя — сканировать нужно все сайты :)
Если взломали через ssh — тут тяжелее, в любом случае стоит проверить кто последний и откуда подключался к серверу.
Да, желательно иметь доступ к серверу по ssh :)
