Наверняка у Вас установлен какой-то плагин для работы с файлами, изображениями или медиатекой. Взломать WP через дыры в таких плагинах могут даже боты. Советую Вам заменить или убрать такие плагины.
К тому же хорошим вариантом будет проверить сайт с помощью плагина Exploit Scanner. Мне помогал.
Скрыть страницу в админке проще простого. Лучше искать таковую в базе в таблице wp_posts. Скорее всего поле post_ID должно быть равно 51191.
