Ich hatte kürzlich eine ähnliche Attacke. In meinem Blog-Footer wurden Links zu Sex- und Paris Hil**n-Seiten gesetzt, die aber in einem DIV standen, der versteckt war. Man konnte sie also nicht sehen (bzw. nur im Quelltext). Ursache war, dass jemand den Hook wp_footer nutzte, um das in den Footer zu schreiben, denn in der Theme-footer.php war nichts dergleichen.
Der Code wurde in der /wp-includes/default_filters.php eingetragen, sodass die Links auttomatisch geschrieben wurden:
Fixes wordpress.net.in Spam footer Injection Infected by Goro class-mail.php and default-filters.php backdoor » By Avice De'vereux » WordPress, injection, vulnerability Bei mir war's nur Punkt 4, der zutraf.