Na początek sprawdź sobie standardowe miejsca w których takie śmieci się umieszcza. Zacząłbym od header.php, potem functions.php ostatnio miałem do czynienie z podobnym przypadkkiem to okazało się, że w wp-includes/nav-menu.php kilka perełek było ukrytych.
Sprawdź też htaccess pod kątem nieautoryzowanych wpisów. Mozesz też wykorzystać darmową wtyczkę która potrafi w dość prosty sposób zobrazować gdzie możesz mieć problemy, a nazywa się Anti-Malware Security and Brute-Force Firewall
Jak już uda Ci się ogarnąć temat to proponuję ustawić chmody 555 dla plików WP powinno w zupełności wystarczyć.
