Qu'appelles-tu un virus ?
Quelle vulnérabilité a été exploitée (as-tu une idée du plugin qui était vulnérable ?). Il faut voir ce que l'attaquant était capable de faire (lire/écrire).
Si c'est une faille type "permet à un attaquant d'uploader des fichiers dans un dossier public web" et que ça a été utilisé pour du phishing, normalement c'est bon si tu supprimes wordpress. Mais dans le doute je recommande bien sûr de réinstaller le serveur entier.
Pour info si tu veux être tranquille, utilise un générateur de site statique :
https://gohugo.io/ (ou jekyll ou autre).