К примеру, Вы у себя обнаружили сторонний код, просканировали сайт на вирусы согласно инструкции, файлы восстановили из резервной копии, а базу оставили по причине нужности последних статей. Может ли заражение пойти от базы к файлам, если база заражена, а файлы чистые?

Вообще нет, база же не исполняет скрипты. Но если под заражением базы понимать, что есть второй администратор для управления сайтом, то в таком контексте этот администратор может получить доступ к файлам. Есть ещё такой тип атак, называется SQL инъекция. Что это такое в статье: https://habr.com/ru/articles/725134/

Поэтому при обнаружении стороннего кода делаем восстановление из резервной копии на дату, когда заражения не было 100%, причем как файлов, так и базы. Предварительно каталог с файлами сайта следует переименовать и сделать дамп базы, после чего удалить из нее все таблицы.
После восстановления проверяем, не осталось ли стороннего кода в файлах, нет ли в базе неизвестных пользователей, корректность работы сайта.
Если все хорошо, сохраняем вариант рабочего бэкапа у себя на компьютере, так как если сайт заразили один раз, то велика вероятность повторного взлома через уязвимости.
Для устранения уязвимостей, нужно всегда поддерживать в актуальном состоянии и устанавливать последние обновления CMS, плагинов, не скачивать плагины из неизвестных источников, предварительно читать отзывы других пользователей перед установкой сторонних скриптов.