JPCERT/CC(https://www.jpcert.or.jp/)では、
「改ざんの標的となるCMS内のPHPファイル」という表題の記事で
WordPressなどのCMSが改ざんされることに対して警告を出しています。

コンテンツを改ざんするようなPHPって、WordPress自体に含まれることはまずありません。
可能性が高いのは、WordPress公式サイトに掲載されていないプラグインの可能性が高いでしょう。

プラグインの中に、怪しいスクリプトが入っていないかどうかを見分けるのは
非常に困難です。
しかし、grepなどを使ってソースを発見する、パケットキャプチャをとって
怪しい通信履歴をチェックすることは、システム管理者ならできることです。
自分のサイトが被害を出す元凶にならないためにも、チェックは必須ですね。