tengo todo eso incluido el wordfence , he estado aplicando mas chucherias varias de estos miagicos tips de hardening para wordpress
pero al final si se lo disponen igual se lo violan ,
Entonces el problema va por otro lado.
Debes tener una shell o un rootkit por ahi, y que probablemente no entró por wordpress.
Por ejemplo, yo una vez en un theme utilizé una biblioteca jquery para hacer subida de archivos con loading y weas varias. Lo que hice fue crear una carpeta "LIB" donde tenia las librerias. Esa en particular venía con ejemplos, asi que por ahi metian una shell y violaban todo.
Probablemente cuando te hackearon la primera vez, simplemente habilitaste el sitio denuevo y dijiste "listo"!!, pero no te fijaste que te dejaron lleno de backdoors, shells y rootkits por ahí para que cuando deshagas los cambios que ellos hicieron puedan volver a tener acceso. Entonces, que debes hacer
- Descargas todo el contenido del sitio a una carpeta en tu computador
- Pasarle un antivirus (no sirve para nada, pero es por si acaso)
- Buscar como texto algún código malicioso (generalmente viene cifrado utilizando un base64, asi que haz una búsqueda en la carpeta de la palabra base64)
- Despues de eso, haz la instalación denuevo del wordpress y sube solo la carpeta uploads siempre y cuando ya estés seguro que está limpia.
No culpes a wordpress. Si lo usas bien (actualizandolo y cuidando los pluggins que instalas y haciendo un buen desarrollo) debería funcionarte bastante bien.