Recientemente he tenido que limpiar malware de un WordPress en el que cada vez que se trataba de acceder a un contenido, saltaba una ventana emergente (pop-up) con el enlace

http://googleframe.net/tijaq.cgi?18

El WordPress estaba manga por hombro, no había copias de seguridad, llevaba tiempo sin actualizarse y el riesgo de cargarse el contenido era alto. Así que pondré los pasos que seguí por si resulta útil a alguien que esté en la misma situación.

Hice copias de seguridad de todo el WordPress y de la base de datos, que aunque estén comprometidos es un paso obligatorio.
Quité cualquier usuario que estuviera registrado en el wordpress. Cambié las contraseñas de administrador, editor, así como toda la información de la base de datos, desde el prefijo, pasando por el usuario y por supuesto la contraseña.

Subí una nueva instalación de wordpress y del template. Revisé el .htaccess para verificar que no hubiera cambios no deseados en este archivo.
Ejecuté la siguiente consulta en la base de datos:

update tabla set campo = replace(campo, ‘</title><script type=”text/javascript” src=””></script>’, ”)

Ese script es un código que el malware copia en páginas del WordPress. Especial atención a wp-options (esta tabla recoge la información delicada).

Para asegurar, hice una búsqueda de ese script en todo el directorio de wordpress para confirmar la eliminación total. Además una meticulosa búsqueda en las tablas “_post”

Una vez limpio lo suyo es instalar plugins de seguridad y protección de nuestro wordpress, mantenerlo siempre actualizado y tener siempre copias de seguridad para facilitar la restauración de nuestro sitio llegado el caso.