こんにちは
セキュリティが心配で尚且つパーミッション設定がサーバー側で指定されているのであればhtaccess等で閲覧されない様に設定するのはいかがでしょうか?
御利用の内容にもよりますが、多分Apacheを御利用されているのではないかと思いますので下記の様な記述をhtaccessに記述する事でもセキュリティ的には有効かと思います。
<Files wp-config.php>
order allow,deny
deny from all
</Files>
データが表示されるのは、データベースにデータが残っているからではないでしょうか?
category.phpから出力用のソースは削除されましたでしょうか?
出力用のソースを削除されなければデータがある限り表示されます。
あと、Advanced Custom Fieldで設定されているとのことですが、Function.phpの時とフィード名を同じにしていないでしょうか?
一度、違うフィード名にしていただいて確認してみてもらえませんか?
the_fieldで表示されないのはまた違う理由かもしれませんので、今は書かないでおきますね。
もしくはおっしゃる通り、キャッシュの可能性もあるかもしれません。ブラウザを変えてみる、やブラウザのキャッシュを消して見てはいかがでしょうか?
