и большинство попыток ведуться именно на системные файлы WordPress
или на знакомые слабые места именно этой CMS.

Тут нет не чего удивительного, когда искал заражённые файлы сканером, и потом просматривал их, то видел в паре файлов очень "сомнительно пахнущий" код, в плане прямой передачи данных $_POST в запрос к базе данных, без какого либо экранирования. Точно уже не помню что за файлы были(и для чего оно там так сделано), но двиг был голый практически, стояло пару сторонних плагинов, и данный код был точно не в них. Заражены были предустановленные две темы, входной файл плюс конфиг и сетингс файлы, плюс дюжена системных файлов, и плагинов.

Сказать честно, до этого взлома, подумывал было вновь попробовать получше покурить вордпрес, и предлагать клиентам, но после этого, не ногой, лучше я фреймворк получше изучу, и на нём буду сайты делать, с похожей по дизу и функционалу админкой, для клиентов, которым джумла админка - лес дремучий...