さっそくのご返答ありがとうございます。
リンク先を読んできましたが英語が苦手なのでアウトラインの理解しかできませでした。
不正なファイルがアップロードされて感染した(レンタルサーバーの内の違うサイト経由かも?)
Backupフォルダを放置しておくのは危険です。
ということでしょうか?
再発の防止として、上記2点を注意していれば大丈夫なのでしょうか?
たしかに一つのレンタルサーバーに複数のWPを設置していて他のサイトも感染しておりました。セキュリティが甘かったという点は恥ずかしい限りですが、勉強になりました。