Geçmiş olsun. Log dosyalarını inceleyin. Silinme saatiyle loglardaki hareketleri eşleştirirseniz hangi IP veya hangi dosyanın tetiklendiğini görebilirsiniz. Özellikle son günlerde Contact Form 7 ve yan eklentilerinde kritik açıklar raporlanıyor. Eğer eklentileriniz güncel değilse saldırgan buradan sızmış olabilir. Siteyi temizledikten sonra Wordfence vb. kurup yapılandırmanızı öneririm.