fStrange

Это однозначно вирус. Классический способ подключения через тему.
Если есть бекап на хостинге, откатить сайт до рабочей версии. Затем обновить Wordpress и плагины. Сменить пароли в админку.
Если сайт в начальной стадии заражения этого может хватить.

Наличие уязвимости еще не означает что ее можно реализовать на данном конкретном сайте.

Но общая рекомендация в случае WP, это да обновить вп\плагин с уязвимостью до последних версий.
Если это невозможно читать доки про конкретную уязвимость и закрыть по факту, ну и прикрыться каким нибудь плагином c функциями файрвола типа Wordfence, от некоторых видов атак спасет.

Вопрос привычки.
Вариант с && используется большинством прогеров и поэтому более читаем и лучше использовать его.

Это все та же уязвимость в модуле vote которую массово используют с 30 июня.
1.
bitrix/js/main/core/core.js
bitrix/modules/main/include/prolog.php
Эти 2 файла поправить.
/bitrix/components/bitrix/main.file.input/main.php
этот удалить.

2.
Помимо этого обычно остаются несколько шеллов в разных местах, их надо искать ручками. Например можно поискать по строке "system($_", пример шелла die(system($_server['http_p'])) , но это не единственный вариант. Если не умеете дать специалисту. (например мне)

3. далее удалить модуль vote

Если вы нормально выполнили п.2 и вычистили все шеллы, то этого будет достаточно без какого либо обновления и покупки лицензии на Битрикс.
Если шеллы вычистили не все, то увы заражение повторят.

Майнер судя по нагрузке подсадили.
Скорее всего все та же уязвимость в модуле vote.
Ее по разному эксплуатируют. Чаще всего js на фродсайты вешают, но изредка и майнеры.

Добавьте 1 параметр в функцию. Директорию которую не надо удалять.
Ну либо придется сохранить начальное значение $dir внутри функции.

И проверку на эту директорию перед rmdir.

В настройках вордпресса в админке изменить адрес сайта на https. Сбросьте кеш.
Если этого недостаточно то возможно придется править тему и ссылки в БД.

Перепробовал кучу прог в итоге вернулся к итоговому варианту. Перекидываю через Телеграм.

Так просто вы не найдете.

Если блок с рекламой реанимируется сам, это значит у вас где то шелл на сайте лежит.
А шелл надо искать. Он может быть как в файлах, так и в бд. А может быть в наличии уязвимость какого нибудь плагина.

На практике у одного из клиентов встречалась и реанимация через крон. Хотя конечно такие экзотически варианты прошивки рекламы встречаются редко.

Для начала попробуйте откатиться на старый бекап. Затем обюновите плагины и версию вп до последней, затем смените пароли админам.

если это не помогает, могу помочь сам, уже на финансовой основе.

Вставка в индекс через какой то шелл. Автоматический антивирус и какие либо плагины не в состоянии их обнаружить все. Лишь по верхам хватают.

Советы типа добавить плагин защиты от Wordfence или Succuri тут тоже не работают. Они более менее эффективны до проникновения, а не после.

Варианта в общем то всего два. И первый не всегда может помочь.
1. глубокий откат, до даты появления вирусов ,желательно задолго. За месяц два.
Затем после отката обновить ВП, обновить плагины и сменить пароли админов и в БД.
2.обратиться к спецу вроде меня(специализируюсь на удалении и защите . 9 мес гарантии на ВП), который будет искать вручную.

Насколько я понял конечная цель вируса - разместить везде .htacces что бы везде была ошибка 403, а потом как то либо связыватся, либо просто предлагать разблокировку за деньги.

Нет. Никто связываться не будет. Взлом автоматический. Цель у вируса добавление дорвея или чего нибудь подобного и слив траффика на свои страницы. Черное СЕО.

Если речь о производительности, то вы этим не выиграете.
Если у вас 3 секунды php отдает страницу, то копать надо сам Битрикс, скорее всего затык в работе с БД.

Потому что вирус на сайте. Japanese SEO Hack.

Надо искать вредоносный код на сайте и удалять. Если много страниц попадет в индекс Гугла, то удалять потом этот хлам он будет долго.

проще отдавать не в json а в multipart/form-data тогда все будет работать привычно через $_POST

Это вполне может быть взлом.
Проверьте ВП на наличие левых админов, проверьте на наличие левых скриптов. Хакеры нередко монетизируют взлом в том числе и через гугл рекламу.

Core2 duo e7500 (LGA775)
Я на таком процессоре работаю. 4гб ОЗУ . Встроенная видеокарта.
Вам нет смысла заморачиваться с материнкой ибо ее вклад в производительность невелик.

Единственное что мешает в моей конфигурации это нехватка памяти. Больше не поставить мать не поддерживает.
Но для вашей задачи вполне хватит. Если будет вариант взять материнку поддерживающую больше памяти и не переплачивая, то это можно делать. Думаю на том же Авито масса дешевых вариантов.

Со взломаных сайтов к примеру продают.

Высокая вероятность что мать сгорела.
Либо что то по питанию и чипсет материнки перегревается.

Дома без специальных знаний вы никак это не продиагностируете. Несите в СЦ.

А что есть что в следующей ссылке:
site.ru/page/content/integration/1c/user/tariff/

Если page - контролер, а content - экшн, то то что дальше - параметры. Но вообще говоря, по ссылке не определить как выполнен роутинг и что есть что.
Контролером может быть к примеру user , а экшеном tariff.