partendo dal presupposto che non sono uno specialista wp, fossi in te controllerei se è tutto aggiornato, se i vari plugin sono stati sviluppati da fonti conosciute, se il tema utilizzato è stato reperito dai canali ufficiali.
per quel che ne so, molto poco, il principale problema di solito è un plugin per upload/download, in alternativa controlleri se nel codice del tema vengono fatte chiamate esterne, ma qui siamo in off e non si può parlare tecnicamente.
Poi ovvio il db potrebbe essere compromesso ormai.
la soluzione migliore secondo me è cancellare tutto e rifare con un cms fatto su misura.
