nobitaさん、ご丁寧にご回答並びにご教示いただき、ありがとうございます!
教えていただいたサンプルコードをローカル環境で試してみました。
以下のように理解致しました。(大体合ってますでしょうか?)
・通常は、phpコード等をコメント欄に入力されても、半角のシングルクォートは全角に置換されるのでスクリプトとして動作することはない。
・もしも、functions.phpやそのほかの部分でphpとして動作させるように、置換やエスケープ処理を無効化されていると、コメント欄のphpが実行される。
■管理画面のコメントについても、再度確認してみました。
私の説明が少し足りなかったのですが、
ブラウザ上では、該当のコメント投稿者名等は表示されていて、コメントの内容だけが空白です。
この部分のHTMLソースですが、
ダッシュボードでは
<blockquote><p> </p></blockquote>
コメント編集画面では
<p><!--mfunc eval(base64_decode("IGVycm9yX3 ~中略~ lKTsgCg==")); --><!--/mfunc--></p>
となっておりました。
HTMLソースのコメントアウトになっているので、ブラウザ上では見えなかったみたいです。
「mfunc」については、2013年5月頃の話みたいですが、こんな記述のサイトがありました。
http://blog.sucuri.net/2013/05/w3-total-cache-and-wp-super-cache-vulnerability-being-targeted-in-the-wild.html
W3 Total Cache と WP Super Cache プラグインを使ってるサイトが狙われたのでしょうかね…。
ネット上で、eval(base64_decode()) について調べると、過去に改ざんされたサイトのことがたくさん出てくることと、私がeval関数のことをよくわかっていないため、心配になってしまいましたが、
今回の私のケースでは、普通のスパムコメントと同様に削除すれば良さそうですね。
allow_url_fopenの件についても、教えてくださってありがとうございます!
ちなみに、テスト用のサイトというか、いずれまともに記事を書いて公開したいと思っているサイトなので、コメント削除とallow_url_fopenをOffにしておこうかと思います。
色々勉強になりました!nobitaさん、ありがとうございました。