ดาวน์โหลด theme, plugin และส่วนเสริมจากแหล่งที่น่าเชื่อที่เท่านั้น พวก nulled และ crack ล้วนแต่มี backdoor

ตรวจสอบไฟล์ทั้งหมดใน wp-content/upload ที่ Download เก็บไว้ในข้อ 2 ดูว่ามีไฟล์แปลกปลอม หรือไฟล์ที่เป็น script หรือไม่ ขั้นตอนนี้เป็นขั้นตอนที่สำคัญมาก ผมอยากให้ค่อยๆ ไล่ดูทีละแฟ้ม เลยครับดูว่าไฟล์ไหนชื่อไม่คุ้น นามสกุลแปลกๆ ให้ลบออกให้หมด เมื่อแน่ใจแล้วว่าไม่มี script หรือไฟล์แปลกปลอมแน่นอนแล้วให้ Upload กลับขึ้นมายัง Server

ติดตั้ง plugin ด้านความปลอดภัย เพื่อตรวจสอบ code แปลกปลอมใน database และปิดช่องโหว่ในระบบที่มีอยู่ หรืออาจถูกค้นพบในอนาคต
เราขอแนะนำ 3 ตัวนี้ครับ เลือกตัวใดตัวนึง

https://wordpress.org/plugins/better-wp-security/
Wordfence Security – Firewall, Malware Scan, and Login Security

https://wordpress.org/plugins/sucuri-scanner/