Tach!

Es hat sich in meiner Praxis bei der Reparatur solcher, meist "eher so mittelmäßig betreuten", Webauftritte als gute Idee erwiesen, mal nach dem Datum der Dateien [...] zu schauen.

Einige sind aber auch clever und setzen das Modifikationsdatum der hinzugefügten oder geänderten Datei auf eins von einer anderen im Verzeichnis vorhandenen Datei. Man kann sie aber trotzdem entlarven, denn in dem Fall sind meist die Millisekunden auf 000 gestellt und nicht auf einen zufälligen Wert.

Bei WordPress hilft auch, im upload-Verzeichnis das Zugreifen auf .php sperren. Der Upload ist eigentlich nur für Bilder vorgesehen.

Options -Indexes
<FilesMatch "\.(php|html)$">
  Order Deny,Allow
  Deny from all
</FilesMatch>

dedlfix.