老哥，你这情况绝对是WordPress被黑了，不过你已经做了删除恶意管理员、改密码这些最关键的应急步骤，这点做得非常棒！接下来咱们一步步来，先找到入侵者的IP地址，再彻底清理隐患，最后加固站点防止再次中招。

日志是找到入侵者的核心线索，重点查这几个地方：

• WordPress后台操作日志：如果你之前装过Simple History这类日志插件，直接在插件界面搜「desctop」「新增用户」关键词，就能看到创建这个恶意用户的IP地址和时间点。要是没装插件，看看wp-content/debug.log（前提是你开启了WP_DEBUG），不过这个日志可能不全。
• 服务器访问日志：这是最靠谱的来源，找你的主机商控制台（比如cPanel、Plesk，或者VPS的SSH终端），找到access.log（不同主机可能叫别的名字，比如access_log）。重点搜这些关键词：
  • wp-admin/user-new.php：这是后台新增用户的页面，找在你发现恶意用户的时间点前后访问过这个页面的IP。
  • wp-login.php：排查异常登录记录，比如多次失败登录、非你常用IP的成功登录记录。
  • 直接搜「desctop」这个用户名，看有没有相关的请求痕迹。
• PHP错误日志：如果服务器开启了PHP日志（一般在主机控制面板的「错误日志」里），里面可能会有恶意脚本执行的记录，比如陌生的函数调用、未知文件的访问，这些也能关联到入侵者IP。

找到IP只是第一步，必须把藏在站点里的恶意代码清干净，不然入侵者还能回来：

• 检查核心文件完整性：用WordPress自带的「站点健康」工具（后台→工具→站点健康），它会自动检测wp-includes、wp-admin里的核心文件有没有被篡改。也可以手动对比：去WordPress官网下载和你当前版本一致的压缩包，解压后和站点里的核心文件对比，替换被篡改的文件。
• 排查主题和插件漏洞：
  • 先禁用所有插件，看看点击链接跳俄文YouTube的情况会不会消失；再切换到默认主题（比如Twenty Twenty-Four），排查是不是主题被植入了恶意代码。
  • 检查主题的functions.php、header.php、footer.php，有没有陌生的代码（比如base64加密的内容、奇怪的wp_redirect跳转代码）。
  • 删掉你不认识的插件，对已安装的插件，检查文件修改时间，要是某个插件最近没更新但文件时间异常，大概率被篡改了，直接卸载重装。
• 清理上传目录：去wp-content/uploads里看看，有没有不该存在的PHP文件（正常只有图片、视频等媒体文件），或者文件名奇怪的文件（比如update_xxx.php、random_code.php），直接删掉。

把漏洞补上，让入侵者再也进不来：

• 全量更新：把WordPress核心、所有主题、插件都更到最新版本——绝大多数入侵都是利用未修复的已知漏洞。
• 限制后台访问：在服务器的.htaccess文件里添加规则，只允许你的常用IP访问wp-admin和wp-login.php：

  <Files wp-login.php>
  Order Deny,Allow
  Deny from all
  Allow from 你的常用IP地址
  </Files>
  <Directory wp-admin>
  Order Deny,Allow
  Deny from all
  Allow from 你的常用IP地址
  </Directory>
  

• 启用两步验证：给所有管理员用户开启两步验证，用WordPress官方的「Two-Factor」插件或者Google Authenticator，就算密码泄露，入侵者也没法登录。
• 禁用后台文件编辑：在wp-config.php里添加一行代码：define('DISALLOW_FILE_EDIT', true);，防止入侵者通过后台修改主题/插件文件。
• 修改数据库前缀：默认的wp_前缀太容易被盯上，改成复杂的（比如mywp_897_），可以用「WP-DBManager」插件一键修改，或者手动改wp-config.php里的$table_prefix，再去数据库里重命名所有表。

• 装个安全插件，比如Wordfence或者Sucuri，实时监控站点的异常登录、文件修改、恶意请求。
• 定期备份站点（文件+数据库），最好用自动备份工具，万一再出问题能快速恢复。

内容的提问来源于stack exchange，提问作者4xElements