Наверняка у Вас установлен какой-то плагин для работы с файлами, изображениями или медиатекой. Взломать WP через дыры в таких плагинах могут даже боты. Советую Вам заменить или убрать такие плагины.
К тому же хорошим вариантом будет проверить сайт с помощью плагина Exploit Scanner. Мне помогал.
Скрыть страницу в админке проще простого. Лучше искать таковую в базе в таблице wp_posts. Скорее всего поле post_ID должно быть равно 51191.
Вопрос не понятен.
Где этот файл? Что вы хотите с ним сделать? Если файл в корне, то какую логику вы преследуете?
Я советую вам сделать отдельный плагин и там создавать меню, обрабатывать переходы, да и вообще не лезть в ядро.
