ご返答ありがとうございます。
hetemlに移管して、WAFを使うことにしました。
不正アクセスがありましたが、無事ブロックできているようです。
念のため「SiteGuard」プラグインも導入しました。
これで様子を見てみようと思います。

新たにわかったことがあるので報告します。

ローカルにSSL環境を作ってWordPressのインストールから試した結果、
サイトアドレスが非SSLのURL(http)で、管理画面のみSSL(https)という組み合わせで
英語ページのパーマリンクからen/が外れる現象が再現いたしました。
※WordPressのバージョンやWAFはあまり関係なかったようです。すみません。。

サイトアドレスにhttps://から入力すると問題は解消されたので、
サイト丸ごとSSL化する方向で考えたいと思います。

取り急ぎご報告まで。

お世話になっております。

サイト復旧にあたり、これまで皆様からアドバイスをいただいたり
自分で調べたりして反省点や今後の対策をまとめました。

サイトで使用している、プラグインの会社のフォーラムにも
同じご相談をさせていただいており、このメッセージが重複しますので
以下はquoteで表示させていただきます。

事前の対策：
・パスワード管理はもちろん、「All In One WP Security」などのプラグインで最大限の防御をする。
・Scannerで不審なファイルが投入された通知が来た時点で、ディレクトリを削除する。（これだけではいたちごっこ）
・サーバ会社のWAFをオンにしておく（サーバ会社によってデフォルトで有効になっている場合があるので要注意。
・サイトを海外からアクセス不可能にする。
・サイトにアクセスするときは、SNSなどは閉じておく。
・複数のPCでログインしない。Wifiを使うときはアクセス権やマックアドレスの設定など最大限のことをする。
・テーマ、プラグイン、WPのバージョンは常に更新状態にする。

事後にしたこと：
・MySqlから、ありえないユーザーを削除
・MySQLから、WPのパスワードを変更
・複数のサイトを一つのサーバで運用していたが、あきらめてサーバのファイルを全部削除して、ドメイン直下のファイルを初期化。

サイトを作成したxamppにアップロード前のファイルが残っていたので、これを再度アップロードしました。

・サーバ会社に聞いて、MySQL内のデータベースは大丈夫だろうと言われたので、サーバのファイルを削除する前に、データベースとUploadだけはバックアップを取りました。中身を全部見て、画像ファイル以外は全部削除する。バックドアがしかけられている可能性があるので、PHPやCGIなど全部。

・config.phpもバックアップ取りましたが、これは使わず接頭辞、サーバ情報、パスワードなどの部分だけ手動でxamppのファイルを戻した時にコピペしました。

その他：
・ECサイトなので、お客様のクレジットカード情報の漏洩が心配でしたが、カード情報を外部（決済会社）サイトで入力する方法を選んでいたのでよかったです。

・大量迷惑メールでドメインがブラックになっていないかを確認しましたが、幸いリストにのっていませんでした。乗っていたら解除依頼を出さなければならないので。

もっとたくさん考えること、するべきことあると思いますが、
現時点で自分なりに、まとめてみました。

ECサイトを運営する限り、まずはお客様の個人情報を守ること、共有サーバ
を利用している方々に被害を及ぼさないことなど、個人であろうと
サイト運営者の最大の義務だと思い、とても大きな勉強をしました。

みなさま、ありがとうございました。

今WAFを調べて、サーバー側で設定できるのを知り、
設定し直してみたところ無事変更することができました。

ありがとうございます。

WAFにブロックとはどういうことでしょうか？

登録したばかりなのですが。
解除する方法とかないのでしょうか？