Редирект при открытии сайта Вирус?

Восстановил сайт из резервной копии, обновил все что можно было обновить, удалил некоторые устаревшие и не нужные плагины, установил Activity Log, Wordfence и WPS Hide Login.

Все это произошло 13 декабря.

14 убрал запрет доступа к сайту из  .htaccess  и открыл доступ к сайту редакторам

Два дня было немного не до сайта, но новых сложностей не возникало.

Сегодня зашел посмотреть что, да как. На первый взгляд, все выглядело нормально. Вот только плагина Activity Log не оказалось на месте.

Даже подумал, что забыл его установить. Установил снова зашел в логи, а там...

Некий пользователь

Username: Murraytow
Email: kerjongya@gmail.com
Nickname: murraytow
IP: 159.242.228.170
с неизвестным статусом 

Заходит на сайт создает другого пользователя с ником support, а затем уже с того же самого  IP начинает работать System. Загружает на сайт архив prettyphoto-media.zip, затем устанавливает плагин prettyPhoto Media. Зачем то удаляет плагин Wp Automatic, которого, вроде как, и не должно было быть на сайте и на последок деактивирует плагин   Activity Log.

Следом 16 числа захожу уже я как Administrator.

Что думаете по этому поводу?
Выходит у взломавшего сайт все еще есть к нему доступ и судя по всему он уже прописал себя в базу?
Что можно предпринять?  

Естественно.  О чём я и предупреждал:

Потому что сайт толком не лечили. 

Конечно, он в базе, поскольку зарегистрирован. Но это не первопричина, а следствие взлома.

У вас есть конкретная дата и время, открываете access.log и смотрите что в это время делал 159.242.228.170

Может к какому-нть xmlrpc.php POST какой-то слал, может еще что-то, к какому-то из файлов среди сайта (возможно это и есть бэкдор). Возможно файл куда он обращался сам по-себе невиновный, но "зараженный" - есть какой-то левый кусок кода в нем (часто через кучу пробелов чтоб не так заметно было)... есть масса возможных вариантов. Собственно я и предлагал же вам изучить активность по логам и найти проблему... бесплатно. Но не хотите - как хотите, смотрите в логах все запросы этого 159.242.228.170 для начала.

Очень часто взлом делается с разных IP, так что это так себе путь.

Главная суть - поймать момент когда произошли изменения и смотреть по логам что происходило, к каким файлам шли запросы и внимательно их изучить. Во-первых нужные это файлы или левые, потом нет ли в нужных файлах левых кусков кода.

Обычно ничего сверъестественного там не бывает, все находится и вычищается, главное внимательность.

Однако есть отдельные личности, и таких немало, которые вообще отключают логи. Или сохраняют их только за последнюю неделю. Вот тогда - проблемы.

Благодарю!
Как я уже писал, просто хотелось бы попробовать разобраться самому.  К сожалению, самая свежая резервная копия была за 27 число, а взлом, судя по всему произошёл 24, поэтому получить чистый сайт из бэкапа не удалось. 

В общем, по логам смог найти два левых файла 
/wp-content/languages/themes/wpml/tmp/V7Lo0OGgLi.php и
/wp-content/plugins/td-composer/includes/templates/ZdPMh02afvCbG.php

Еще один должен был быть /wp-content/plugins/classic-editor/js/8Jfg0WKHQmW.php
Но, на данный момент уже был  удален. Видимо через него и было осуществлено проникновение.

Также были обращения к /wp-content/themes/Newspaper/includes/js/page-template.php
Тему и плагин  Classic editor удалил и установил свежие.

Много обращений было в адрес /wp-cron.php?doing_wp_cron , что могло интересовать там незваного гостя?  

А эти файлы вы хоть не удалили? :)

Их там может быть тьма, разбросанных по всем папкам. Стоило в них всмотреться, найти общие части и поиском по всем файлам поискать такое же.

Нет. Проникновение было осуществлено иначе. Все эти файлы - промежуточные шеллы.

Первое обращение с этого Ip в логе 

"POST /wp-load.php?pubkey=346829bdf17a4e1381c94e81369c059a&bvTime=1639450468&bvVersion=0.1&bvMethod=getdata&sha1=true&sig=bbdb0c5d2149823e0ceb03b9c38155d56f26010f HTTP/1.1" 403 199 "-"

Там несколько тысяч строк кода в каждом. Честно слово не знаю, по какому фрагменту искать.  Могу сбросить вам, посмотрите?