Depois de um longo tempo, descobri onde que residem os exploits do wordpress. De maneira similar aos viruses dos anos 80/90, eles infectam alguns arquivos .php com o seu código (que é obfuscado, criptografado e compactado diversas vezes – o recorde que eu vi foi de 11 vezes!!).

Geralmente, se você encontrar um código similar a esse:

eval(gzinflate(base64_decode('FJ3HcqPsFkUf53YVA3IakoPIGSa3yCByDk//y5MeuO2yxXfO3mvZEirPtP9Xv...

você foi infectado.

Para descobrir todos os arquivos infectados, o seguinte comando é suficiente:

find . -type f -iname '*.php' -exec grep -q -i 'eval(gz' {} \; -print

Depois é melhor ir vendo um-por-um esses arquivos.

Esse código tem dentro de sim um exploit muito bem feito. Uma boa descrição dele pode ser vista aqui

Agora espero que resolvi esse problema definitivamente.