Шаг 0 - проверить на вирусы, например с помощью
Айболита. Зачастую помогает, если это вирус.
1 шаг - нужно попробовать выключить плагины (если есть) и посмотреть - возможно, дело в них. Тогда перебором вычленяем виновника.
2 шаг - исследовать файл functions.php и всё, что к нему подключается, поскольку в одном из этих файлов может быть зловред.
Обратите внимание на большие куски обфусцированного кода, которого не должно быть - очень вероятно, что это оно.
3 шаг - смотрите, какие скрипты подключены к сайту и что они делают. Возможно, кто-то из них играет за другую команду. Откройте вкладку Network в devtools, всё посторонние и подозрительные запросы - наши клиенты.
4 шаг - ревью всей темы, поскольку зашито может быть прямо там. Если появляется на всех страницах - то скорее всего это файлы, которые используются везде. Обыкновенно это header и footer, но могут быть и другие.