Решение и вредоносный код найден. Был размещён в папке /wp-content/plugins/hseo/. В списке плагинов никаких новых плагинов не видно, замаскирован. Также просто по FTP или через панель хостера, эту папку не удалить, нужно подключаться и удалять по SSH, с помощью команды (предварительно зайти в папку /wp-content/plugins/):

rm -rf hseo

После удаления папки, перестала выскакивать табличка якобы «рекапчи», но нужно ещё прочекать, не осталось ли где ещё следов от него. Также сразу меняем пароли БД и админки от wordpress (предполагаю, что у меня могли пролезти через пароль БД, пароль от админки адово сложный был, исключено). Вот собственно и всё. Кому интересны сами файлы вредоносного кода для анализа — могу скинуть в личку, в паблик такое выкладывать уж не буду ✋