Привет.
Ни один плагин/антивирус вам не найдёт все заражённые/вредоносные файлы. Без опыта в подобных случаях самостоятельно вы тоже вряд ли разберётесь, так что лучше сразу обратиться к специалисту (могу помочь, если что).
Если делали резервные копии сайта, то попробуйте откатиться до самой актуальной, которая была
до взлома сайта, затем по логам ищите через что/как взломали сайт и ликвидируйте угрозу (чаще всего это либо очень слабый пароль на учётку администратора сайта, либо дырявый плагин).
В качестве временного решения, на стороне сервера закрыли полностью доступ в WordPress админ панель (отдает код ошибки 403 сейчас). Чтобы хакеры которые взломали сайт, не могли там лазить и устанавливать всякие 301 перенаправление.
У вас там уже шелл залит, так что эта мера никому не помешает (кроме вас). Грубо говоря, на этой стадии сам WordPress уже особой ценности для злоумышленника не представляет.
И нашла юзера с правами админа которого я не назначала. И не могу удалить его...
Потому что где-то в файлах есть код, автоматически пересоздающий пользователя при каждой загрузке сайта. Скорее всего это какой-то файл темы, но проверять нужно вообще всё в вашем случае. Один такой файл засветился на скриншоте - это
/wp-content/themes/twentytwentyone/inc/template-functions.php
, но могут где-то быть и другие.
И любые подсказки если Вам что-то говорят скрипты на картинках выше.
И без картинок понятно, что вам надо проверять весь сайт целиком.
Плюс, оказывается была какая-то утечка паролей. Это я прочитала в настройках браузера Google Chrome.
Утечка паролей относится, скорее, не к текущей проблеме с сайтом, а связана с утечками всевозможных баз за последние несколько лет. Видимо, какие-то ваши логины/почты/пароли в этих слитых базах есть, о чём и сообщил браузер.
З.Ы.: Авиру лучше сразу на помойку выносите - это не антивирус, а неудачная шутка. Windows Defender лучше будет, или тот же Eset Nod32.
З.З.Ы.: и осторожнее по порносайтам ходите :)
З.З.З.Ы.: у вас на сайте есть пачка PRO-версий плагинов. Покупали, или варез?