wp adminden şifre deneme yazılımları ile girmiş olabilirler
wp content içerisindeki tema ve plugin dosyalarını kontrol edin içinden herhangi birinin bi dosyasının kodlarını değiştirerek shell atmışlardır

veritabanında wp options tablosundaki last edited satırı olması lazım yanlış hatırlamıyosam en son editlenen dosya orda da yazar bi kontrol edin