Creio que primeiramente você tenha que eliminar as possíveis fontes de entrada de códigos maliciosos, onde as principais são:
- Plugins/temas nulled (zips piratas baixados pela internet sem fonte confiável – entenda por fonte confiável apenas o site oficial do plugin/tema desenvolvido por pessoa/empresa reconhecida)
- Plugins/temas não piratas mas ilegalmente adquiridos de fontes não confiáveis. A exemplo do Elementor, que é um plugin caro, mas você acha inúmeros sites revendendo licenças aos montes, à custos muito baixo, como R$30,00.
- Plugins/temas que precisam ser ativados por terceiros através de uma conta admin, onde a pessoa acessa seu painel do WordPress para realizar a ativação.
Utilize apenas plugins/temas de fontes 100% confiáveis, preferencialmente baixados diretamente dos repositórios do WordPress, através do painel administrativo do mesmo. Se for utilizar algum que não possa ser baixado diretamente pelo painel do seu WordPress, empenhe-se em pagar caro para fazer o download do site oficial e nenhum outro local.
Sem fazer esses passos acima não terá como eliminar completamente os riscos e o problema pelo qual está passando agora.
Feito os procedimentos acima, experimente utilizar algum dos plugins de segurança que possuem a funcionalidade de varrer arquivos em busca de malwares. Exemplos: Defender, Cerber, Wordfence, Clean Talk ou qualquer outro que achar viável e confiável.
Com o plugin de segurança ativo execute um rastreio completo (arquivos, temas e plugins) por snippets maliciosos no site. Faça as ações necessárias que o plugin sugerir para realizar a limpeza.
Depois disso mantenha o plugin de segurança ativo e faça todas as configurações possíveis para proteger seu site, onde as principais são sobre XML-RPC, slug de login e prevenções contra spam e força bruta.
Somente depois de realizar todo esse procedimento entre novamente em contato com sua hospedagem requisitando uma nova varredura por parte deles.
Valeu campeão pelas dicas, vou dar uma olhada aqui.
