Dziurawy wordpress – dość poważne

Na jakim hostingu czy serwerze masz tego WordPressa?
Jakie uprawnienia dałeś dla folderów i plików WordPressa?
Jaki serwer WWW i interpreter php tam działa?

I przede wszystkim, pewnie masz tam podrzucony jakiś skrypt typu c99 albo c100, który pozwala na bezproblemowe majstrowanie przez kogoś, kto tego backdoora tam umieścił.

Hostingu nie znam, serwer to będzie pewnie LitesSpeed lub Apache, php-5.4.
Uprawnienia prawidłowe.
Powodem może być jakaś dziura w Worpdressie, lub którejś wtyczce, radzę gruntowną aktualizację Worpdressa i wtyczek, także schematów graficznych.

Jak namierzyć c99 lub c100?
Najprościej po wielkości skrypta:

du -shk /var/www/phpshell/*
168	c100.php
168	c99.php
192	r57.php

W ogóle to trochę się dziwię, ze nie masz żadnego sposobu, żeby sprawdzić, które pliki TY wgrałeś, a które pojawiły się w inny sposób.
Na serwerze VPS poradziłbym użycie np AIDE, ale tutaj musiałbyś poszukać porady w pomocy technicznej, nie wiem, co tam na tym hostingu mają dostępnego.

na razie radziłbym wywalić tego WordPressa i przywrócić go z kopii zapasowej, a potem porządnie pomajstrować przy zabezpieczeniach i monitoringu zmian w plikach.
To się da zrobić np skryptem, który loguje się przez SSH i sprawdza sumy kontrolne, albo jakoś podobnie.

Pozdro

Jak nie wiesz, jak sprawdzić wielkości plików na hostingu, to ja naprawdę nie mam pomysłu, jak tobie to objaśnić.

Z konsoli Linuxa da się wejść na serwer ftp poleceniem
ftp <adres_hosta> zalogować się, i wylistować pliki poleceniem ls, poza tym wchyba każdy klient ftp pokazuje wielkości plików.

Gotowe backdoory typu c99 mają zazwyczaj ponad 100 kB,
na przykładzie powyżej tylko 168 kilobajtów,

A na przyszłość musisz mieć możliwość monitorowania zmian w plikach na serwerze, bez tego daleko nie zajedziesz.