olá @moiseskdean,
eu apostaria em duas possibilidades,
1) um plugin de integração configurado para que conforme certas regras (como, por exemplo, após um certo prazo) realize essa operação de exclusão e envio para outro site. teria que verificar todos os plugins e ver se algum levanta essa suspeita. e se o WordPress usa tema-filho, teria que ver também se isso não pode ter sido configurado em arquivo dentro da pasta do tema-filho, iniciando pelo functions.php.
2) se não é plugin ou se não usa tema-filho, um script inserido dentro do WordPress, o que provavelmente configuraria malware. nesse caso, indicaria fazer uma varredura com a ferramenta online da Sucuri,
https://sitecheck.sucuri.net/
se acusar malware, ai complica. pois não existe nenhuma ferramenta gratuita que resolva. o que talvez poderia tentar fazer é usar uma ferramenta de comparação de arquivos originais do WordPress com sua versão. existe um plugin da Sucuri para WordPress, gratuito que faz isso. (para retirar malware ai eles cobram uma pequena fortuna…)
também há opção de plugins como o abaixo,
https://wordpress.org/plugins/ninjascanner/
basicamente você teria que comparar as modificações que existem nos arquivos do WordPress e eliminar as que acreditar serem malware. processo técnico e complicado.
o que eu faço, quando passo por isso, é
1) ou usar uma backup e restaurar o WordPress para um ponto anterior, mas pelo que diz já faz um tempo esse problema, então difícil imaginar terem um backup anterior ao problema.
2) ou deletar o tema atual e instalar um novo tema. muitas vezes esses malwares vem no tema, principalmente quando é adquirido sem ser com o desenvolver, como é o caso do Mercado Livre. então deletaria o tema, instalaria um novo tema (tendo certeza da fonte, nem que fosse um gratuito), instalaria o plugin da Sucuri para WordPress configurado para monitorar mudanças. então veria por um prazo de 1 semana a 15 dias se o problema continua. se não continuar, era o tema. se continuar, o script foi instalado no core e ai teria de usar a solução mais trabalhosa.
3) aqui uso a ferramenta do próprio WordPress de exportar todo o conteúdo. então crio um novo WordPress, buscando deixar o mais próximo possível em matéria de layout da versão atual e importo o conteúdo. dá um trabalho considerável (pode dar muito trabalho mesmo), mas é a única forma de garantir um código limpo do WordPress com o conteúdo que havia na versão anterior.
isso é necessário quando não é possível clonar o WordPress, pois a clonagem costuma trazer junto modificações no código. ou seja, se for um script, provavelmente continuará lá.
saudações e boa sorte,