Михаил Есенин

0. Изучить логи. Действительно, запрос выше мог быть вызван вирусом, а мог и не быть. Но начать с этого сайта стоит.
1. Просмотреть дату изменения файлов и содержимое главных файлов. Дата часто меняется, но встроенный скрипт обнаружишь невооруженным глазом.
2. Просканировать все файлы сканером вроде AI-Bolit - он выявит внедренные вирусы.
3. Проверить внешний периметр - добавить все сайты в онлайн-сканеры вроде METASCAN или Detectify. Они быстро найдут подозрительные скрипты и дыры

Если на твоём сайте что-то завелось, то лучше сделать нормальный аудит. Потому что iframe или js-майнер могут быть только следствием, а причиной может быть полный доступ хакеров к твоей системе.
Первым делом, конечно, надо этот доступ прикрыть. Для этого поищи дырки в сайте с помощью metascan.ru, detectify.com или acunetix.com, это онлайн-сканеры безопасности.

Конечно, есть. Из того, что можно самому своими руками запустить: dirb, DirBuster, Sublist3r, dirsearch. Разницы между ними не так много, главное какой словарь для перебора использовать.
Из онлайн вариантов могу посоветовать URL Fuzzer или METASCAN, у них словари уже встроенные.

Просканировать на наличие вирусных файлов и нежелательных ссылок можешь с помощью https://metascan.ru. Он и по Wordpress выдаст уязвимости, если у тебя дыры есть в безопасности или устаревшие плагины с уязвимостями.

1. Не стоит. Факт того, что ты закрылся от сканеров, не избавляет тебя от уязвимостей. Принцип Security through obscurity выходит, а его надо избегать в таких вопросах.
2. Стоит, но это не панацея. Вот инструкция по настройке.
3. Я бы проверил бы сам себя этими сканерами, чтобы увидеть отчёт о проблемах! И ручными инструментами, конечно же. Из того, что следует попробовать: Acunetix, METASCAN, Detectify. И не забудь CMS обновить!

Гугли по запросу "shell upload", если же хочешь конкретно продемонстировать, где была уязвимость, то советую просканировать сайт X-Spider или METASCAN, чтобы показать авторам дыры в их коде.

Насчёт защиты ты прав, как минимум надо ограничить запись и выполнение. Советую прочесть все возможные меры защиты от заливке шеллов в вики OWASP, пункт Prevention Methods.