Что сканирует сканер Wordfence – плагин для безопасности WordPress?

Насколько помню, в бесплатном варианте только одна проверка в сутки, локально и не все возможное из файлов. То есть не факт, что заметит ваши или чьи-то внесенные изменения и тем более не подключает базу и все остальные сервисы и тд Wordfence. В итоге, проверки на уровне "мего лайт".

Наверняка ваш хостинг предоставляет антивирь так или иначе, если стоит такая проблема, лучше его использовать. Можно поставить что-то из плагинов, что проверяет по хешу и сравнивает, работает по крону, зарядили несколько проверок в день и бекап и все, проблем вернуть не будет.

А полагаться на лечение от плагинов ... ,по удаляют такого, что потом и со стаканом не разобраться будет почему сайт не работает))

Если темы и плагины коммерческие, и их нет в репозитории - то WF ничего не выловит, разумеется. Он же с репозиторием сверяется.
Что касается малвари - то пару раз он мне её вылавливал.
Вот против Zero-Day дырок он лажает. Там чисто ботами сайт под контроль берется, WF не спасает - поскольку правил для файерволла ещё нету даже в платной версии. В бесплатной же они подъедут эдак через месяцок или сколько там у них.

Из всего, что есть под WP - этот отрабатывает действительно хорошо.
Использую практически на всех сайтах под WP несколько лет. Взлом был единственный раз: нашли глобальную уязвимость в одной из тем, и сайт, который был даже ещё не в индексе, дефейснули. На большее здоровья не хватило, быстро накатили подоспевшую "заплатку" от разрабов, проблема была снята.
Главное, что утомляет - это регулярные уведомления об очередной попытке взлома, такого добра несколько десятков в день сыплется на почту. Перебирают логины, брутить пытаются. Там, к слову, есть приблуда, которая позволяет отслеживать траф real-time. Довольно смешные логи получаются, любопытно посмотреть.

Малварь может и выловит (я уже упоминал выше). А вот сопоставить файло с исходниками - не сможет (их нет в репо).