Teman virüslü hocam. Kodun ne yaptığını anlayamamışsın.
Isactive widget fonksiyonu bir admin fonksiyonudur. Senin kodda bu hiçkimseyi şüphelendirmeyen fonksiyonu kullanmış. Fakat farkettiysen fonksiyonun içinde bir PHP etiketi açıyor ve dosya taraması yapıyor. Büyük ihtimal buna bağlı farklı fonksiyonlar vardır ve bu fonksiyonlar o widget fonksiyonunun açtığı <? php etiketinin içine birçok zararlı kod ekliyordur. Bu kod functions.php 'nin içinde olduğuna göre o file get contents ile aranılan dosya funcitons.php dosyasıdır.
Yani senin virüs ilk önce Isactive widget fonksiyonunun hangi dosyada olduğu arayıp buluyor (funcitons.php de). Daha sonra o dosyanın içine bir <? php etiketi açarak bağlı olduğu diğer fonksiyonları ekletiyor. Ana fonksiyon bir admin fonksiyonu olduğu için şüphe çekmiyor. Virüslü fonksiyonun da o get allwidgetcont fonksiyonu. Kodun hepsini göremiyorum tabii.