Не могу найти место нахождения вредоносного кода

wordfence плагин установи и запусти сканирование.

Установил, показывает что надо обновить wordpress и всё

Сканирование запускали?
wp-admin/admin.php?page=WordfenceScan
START NEW SCAN

ссылку дай

это внутренний сайт компании, работает только в рамках организации

Купите тему/плагин или скачайте с официального репозитория WordPress...

Может есть вариант узнать путь к файлу где эти ссылки через браузер?

https://revisium.com/ai/ в помощь.

Лечить можно долго и разно.
- Для начала - скачиваем дистрюбитив сайта по ftp себе на комп. При установленном, естественно, но компе - DrWeb (например). Вредоносный код находится.
- Не помогло. Запускаем IB серверный, упрощенный. Находится, однозначно.
- Не помогло. Запускаем IB расширенный. Находим, мочим.
- Не помогло. Закрываем сайт и ссым кипятком, в неумении искть пройстейшиую фигню.

Доступ ftp давай. Найду - штука, не найду - смени пароль :) Полчаса.

Есть бесплатная программа xenu. Ею проверяете сайт, она дает все ссылки, которые найдет. В свойствах ссылки првой кнопкой мыши покажет, на какой странице она. Если этой ссылки в файлах нет (поиском на хостинге) и в БД нет, значит стояит бяка, которая подменяет запросы из БД на лету. Ковыряйте код functions.php и comments.php на подозрительные коды. В ПС гуглите "скрытые ссылки в бесплатных шаблонах".

Проверьте не прописана ли загрузка вредоносного кода в wp-config.php, даже если он находится на уровень выше.