Ограничение размера файла

Замените взломанные экземпляры Wordpress заведомо исправными резервными копиями.

Что, резервных копий у вас нет? Тогда это сложнее. Мое предложение состояло бы в том, чтобы выключить их все, а затем включить по одному, пока вы снова не увидите извержение, затем снова выключить это и сосредоточить свои исследования на том, что именно не так.

https://codex.wordpress.org/FAQ_My_site_was_hacked перечисляет некоторые ресурсы, которые вы можете использовать для определения того, что именно вызывает проблему. У вас есть доступ к внутренностям вашего сайта, а у них нет, поэтому они, вероятно, могут лишь смутно подтолкнуть вас в правильном направлении; но если это поможет, будьте благодарны.

Здесь вы фокусируетесь исключительно на неправильных факторах. Ваш взломанный сайт создает проблемы для соседей. Вы должны остановить это. Независимо от того, хочет ли ваш NSP взимать с вас плату за поддержку или возмещение ущерба. Предупреждения по электронной почте, которые вы получаете, также являются лишь смутным симптомом гораздо более серьезных проблем, которые вы в настоящее время создаете в почтовых ящиках других людей.

Если у вас есть резервные копии, но вы не знаете, как далеко назад можно вернуться, различные черные списки и т. д. являются хорошим источником для установления приблизительной временной шкалы. Google добавил вас в черный список 2 апреля? Затем посмотрите вокруг этой даты на наличие странных изменений в ваших резервных копиях. Имейте в виду, что многие взломы происходят поэтапно, и первоначальный бэкдор мог быть установлен значительно раньше.Тем не менее, для обычного взлома преступник, вероятно, нашел и использовал уязвимость одним махом, а затем приступил к установке небольшого количества загрузок, спам-скриптов, дополнительных бэкдоров и кухонной раковины.

Говоря конкретно, ищите код PHP или JavaScript, добавленный в сами файлы WordPress. Есть много способов скрыть и запутать код, но если вы просто запустите стандартную установку от своего провайдера VPS, вам не составит труда найти, где ваш код отличается от их. Если у вас дублируется одинаковый код для многих сайтов, простой diff -urNad site1 site2 | less расскажет вам, в чем разница. Также возможно, что часть или все вредоносное содержимое находится в базе данных содержимого, поэтому вам также потребуется проверить это.