Сайт Взломали - WordPress

Что-то типо Sucuri Security, но надо смотреть и другие, их масса. Надо кроме всяких там отслеживания изменений, чтобы знал все файлы ядра и мог указать на внедренные файлы.

И увеличить нагрузку на сервер/хостинг.

Да, немного подрастет, но тут какие альтернативы, если ТС самому не произвести несложные манипуляции и закрыть вопрос без плагина.

Сделаю бэкап сайта и Попробую установить плагин Sucuri Security

и вопрос
А как можно удалить вордпресс и установить его снова - без потери статей на сайте?

Статьи в базе и её трогать не надо, только файлы, подключается сам вп конфигурационным файлом (wp-config.php). Это файл можно оставить, остальное удалить и потом залить новый wp, кроме файла конфига. Он подключиться к имеющейся базе.

Смотреть надо все сайты (и файлы) на хостинге, если хостинг не изолирует сайты. Неплохо поставить ВП Хелс и Вордфенс. Неплохо пройтись по сайтам и БД антивирусом. Если хостинг нормальный - подать запрос к хостеру с целью выявления. Адекватная ТП поможет найти и/или изолировать проблему. 

ВП, да, сносить полностью и ставить сразу же свежие версии. 

Что за бред?

Почему? Почти у всех хостингов заражение одного сайта = доступ ко всему аккаунту пользователя. По файловой структуре бегают и ищут, есть ли ещё WP (или просто оставляют лазейки). Изолированные сайты мало кто предлагает.

Плагин ставить не надо

Подключаешься по FTP ( или файловый менеджер хостинга), редактируешь htaccess на блокировку всех  и удаляешь папки wp-admin, wp-includes, файлы WP в корне сайта, / кроме wp-config
Заново заливаешь wp-admin, wp-includes и файлы последней версии WP
Папка wp-content, подскажу в ЛС ( бесплатно (для админа))

Далее в htaccess
 запрещаем доступ к  wp-admin, wp-login для всех кроме себя
в папке wp-includes запрещаем доступ к исполняемым файлам ( в инете гуглим полно описаний)

Снимаем запрет для всех, установленный ранее

Кроме того что указал, прописываем в wp-конфиге то что ранее писал, запрет на листинг каталогов, запрет на исполняемые файлы в папке Uploads/

Правило редиректа ( или 404) для URL/? , с нужными исключениями
Сам htaccess, естественно защищаем

Все, если ничего не забыл 

Спасибо за столь подробный ответ
Возьму за внимания и буду пытаться наладить этот полный ужас...

А вот что делать с папка wp-content без его удаления? 
Ведь там находятся плагины со всеми настройками и Темы - которые даже и не знаю, получится ли снова вручную делать
папку wp-content если можно не удалять, то что с ней надо делать что бы очистить? подскажите пожалуйста

на всякий случай написал Вам в ЛС

- в папке wp-includes запрещаем доступ к исполняемым файлам

Нашёл такое решение:

полностью запретить любой доступ к файлам в папке wp-includes

надо создать файл .htaccess в папке wp-includes  (если его нет!)
и прописать там:

deny from all

нормальное это решение?
или хватить только php

<Files *.php>
    Deny from all
</Files>