Primeiro, atualize para a versão mais recente do wordpress. Em seguida, desative todos os plugins. Isso manterá os bugs na linha enquanto você faz um pouco mais de perícia na máquina.
Procure em seus registros de acesso procurando solicitações na época dos tempos de exibição dos arquivos em questão que são POSTs ou GETs com parâmetros de consulta de aparência engraçada. Observe os URLs que estão sendo solicitados e se estão associados a um plug-in ou ao código principal, o que ajudará a restringir o vetor de ataque. Você pode reativar os plugins que não estão relacionados ao problema (depois de atualizá-los novamente para a versão mais recente para minimizar os riscos).
De lá, tudo depende do que você encontrou anteriormente e da habilidade que você tem. Você poderia jogar honeypot e tentar obter mais informações sobre o que os atacantes estão fazendo, mas eu estou supondo que você provavelmente tem uma batalha difícil em que a partir do seu nível de experiência aparente. Aconselhamento geral é apenas para manter-se atualizado sobre patches, assistir os anúncios wordpress para atualizações de segurança, e rezar para que você não seja atingido por um dia zero.