Всё руки не доходили, написать что нибудь новое, про свою работу. А тут хостер написал, что файлы появляются, на вирусы похожие. Глянул, и правда, полный бардак. Пришлось изучать проблему.
Между делом сайт перевёл на php 7, но что-то пошло не так, глюки какие-то. Пришлось вернуться на предыдущие. Пока лень разбираться, может потом, как нибудь.
Обновлялся один плагин, background-image-cropper, сам, принося вредоносные файлы:
/wp-content/plugins/background-image-cropper/image/ico/search.php : {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL
/wp-content/plugins/background-image-cropper/image/ico/pas.php : PHP.HostComm.PHP.Webshell.i.0.UNOFFICIAL
/wp-content/plugins/background-image-cropper/image/ico/dump.php : {HEX}php.generic.malware.443.UNOFFICIAL
/wp-content/plugins/background-image-cropper/wp-post.php : {HEX}gzbase64.inject.unclassed.15.UNOFFICIAL
Обновил wordpress, плагины, перерыл полностью шаблон, на предмет непонятных скриптов. Удалил все неиспользуемые шаблоны. Поставил пару плагинов для поиска вредоносных вставок, таких как Anti-Malware Security and Brute-Force Firewall. Помогло. Подсказали файлы с вредоносным кодом. Что-то удалил, что-то почистил. Вручную перепроверил все картинки, часть оказалось файлами php с закодированным текстом. В общем целом увлекательное занятие 
» Читать запись: Вирусы в шаблоне, проверяем файл functions.php
