Пользователи в админке

Evgeny, привет.

Пробовал несколько раз удалить, но появляются вновь, практически сразу.
Что это и где это сидит?

Либо код в файле(-ах) PHP, либо <script> (файлы, база).

Как это побороть и стоит ли это опасаться?

Беспокоиться стоит, потому что это бэкдор, чего в идеале быть не должно. Повезёт, если за это время вам там дел не наворотят.

Если это где то в код залезло, то где искать ?

Сначала попробуйте понять что конкретно ищете (JS-скрипт или PHP-код, обфусцированный или нет), а потом станет понятно где и как искать. Посмотрите на свой список плагинов — за последнее время было много уязвимостей в топовых плагинах, может быть и вас зацепило. Проверьте файл /wp-config.php на предмет лишних/непонятных/незнакомых записей. Пробегитесь взглядом по датам изменений файлов и директорий, сравните с приблизительной (если не знаете точно) датой взлома вашего сайта. Это будет хорошей отправной точкой.

Ещё, к примеру, можете воспользоваться плагином WP Cerber — он сравнит оригиналы плагинов из репо WordPress с теми, что установлены у вас, ну и, может, что из вредоносного кода найдёт.