Non considerare questo come un insulto, ma il fatto che non sai da dove iniziare è un ostacolo. Considera quanto segue: Controlla il codice in modo frammentario solo per scoprire qualcuno in ssh'd e inserisci la backdoor nella cartella webroot. Allora cosa? Hai perso tempo.
La soluzione migliore è cercare di determinare quando ciò è avvenuto tramite l'analisi del registro, che probabilmente rivelerà quale plug-in o vulnerabilità di wordpress è stata sfruttata. Per fare questo, vorrei rilasciare un ls -ltha sul file stesso per ottenere un timestamp (sperando che qualcuno non lo abbia modificato). Una volta ottenuto il timestamp, passerei quindi attraverso i log degli accessi e degli errori del server web per quel periodo di tempo, analizzerei il nome dell'applicazione e così via.
La mia impressione mi dice che qualcuno ha sfruttato un plugin vulnerabile, o una versione di wordpress, nel qual caso il tempo speso sprecato per analizzare il codice sarebbe stato usato in modo più produttivo sugli aggiornamenti e per rendere sicuro il sistema.
Per quanto riguarda il modo in cui la backdoor potrebbe essere stata caricata, questa è ampia. Fino a quando non decidi se è stato caricato o meno PERCHÉ di wordpress stai giocando a indovinare. Come fai a sapere che qualcuno non ha forzato il server (ssh) e poi lo ha caricato? ... Analizzare prima i file di registro per il server.