He podido solucionarlo. Ha sido un ataque de fuerza bruta. Finalmente pudieron acceder por un nombre de usuario, culpa nuestra, quizá demasiado sencillo. Desactivaron el plugin de seguridad e instalaron la redirección en el footer a traves de un plugin (wpcode lite). Lo he solucionado borrando este fragmento de código y limitando los intentos de acceso para futuros ataques, por si a alguien más le sirve esta información. ¡Gracias!