Téléchargez l'installation complète, puis comparez les sommes de contrôle des fichiers avec une sauvegarde propre ou une nouvelle installation des mêmes versions WP + Plugins + Thème. Le plus important: découvrez comment ils ont infecté votre site et fermez ce trou ou vous serez de retour à la case départ dans un court laps de temps après avoir téléchargé une sauvegarde propre. Vérifiez les journaux d'accès, filtrez les adresses IP connues de vous et de vos utilisateurs, et regardez le reste, en particulier les requêtes POST. Assurez-vous également de vérifier les journaux FTP et (si vous avez un accès ssh à votre hôte) les journaux auth pour vous assurer que les machines/mots de passe de vos/vos collègues n'ont pas été compromis.
Assurez-vous également de ne pas manquer de fichiers individuels ou de plugins qui ne devraient pas s'y trouver. Vous ne pouvez pas faire confiance à ce que vous voyez dans le backend à ce stade, vérifiez donc la base de données directement pour les nouveaux utilisateurs que vous ne connaissez pas et les utilisateurs avec des privilèges qu'ils ne devraient pas avoir. Comparer avec une sauvegarde récente peut aider.
Étant donné que la durée d'infection de votre site n'est pas claire, je ne ferais pas confiance aux sauvegardes récentes (ni à aucune). Installez une nouvelle installation après avoir trouvé et corrigé le point d'entrée, puis manuellement (ou avec un script, mais attention à ne pas transférer les portes arrière) transférer le contenu vers l'installation propre.