Existem muitos formulários de contacto que tem backdoors ocultas, certamente já foram abertas várias portas em vários ficheros executando código malicioso. Eu no teu lugar o que fazia era uma atualização para a versão mais recente, depois fazia um backup da base de dados e da pasta de uploads e posteriormente instalaria o wordpress de novo restabelecendo a base de dados e os ficheiros da pasta uploads. Mas ainda assim antes de repor os ficheiros da pasta uploads passaria essa pasta a pente fino para verificar que não tenha nenhum ficheiro suspeito.
Esses ficheiros que diz suspected foram colocados assim pelo antivirus do servidor porque contém código malicioso, mas podes ter muitos outros que não foram detetados e isso vai em aumento. Verifica também se não tem nenhum chronjob configurado para executar uma tarefa suspeita.