A WP hackek nem ilyen kifinomultak, pláne nem, hogy ha nagyüzemi. Szerintem jó eséllyel egy friss sebezhetőséget találtak, és használtak vagy a WP-ben, vagy egy elterjedt pluginben. Az access logot átnézted? Különös tekintettel a POST kérésekre, gyanús user agentekre, illletve még mindíg lehet régen bekerült hack bármelyik php file-ba.