Вирусы на сайте

домен reg.ru
чистим через антивирус сайта
постоянно возвращается через неделю две
на домене 4 сайта

стартует все с одного, но заражает остальные.
нужно устранить дыру и решить вопрос с безопасностью.

2 сайта на wp, 2 сайта на opencart 
сайт с которого стартует на wp

Аудит: 
Мы провели аудит всех файлов четырёх сайтов на хостинге и получили следующие данные.

На площадке найдены файлы двух типов: зараженные троянским агентом HEUR:Trojan.PHP.Agent.gen и бэкдоры HEUR:Backdoor.PHP.WebShell.gen.
Файлы зараженные троянским агентом позволяют использовать уязвимости сайтов и выполнять зловредный код.
Файлы с бэкдором позволяют записывать и исполнять любой код на сайте.
Наличие файлов обоих типов говорит о том, что у атакующих есть полный контроль над двумя сайтами.

Мы проверили содержимое зараженных файлов с нашей локальной копией сайта lepestki-vl.ru от 29 ноября 2023 года.
Файл voucher.php из директории /www/lepestki-vl.ru/catalog/language/ru-ru/extension/total не содержит вредоносного кода.
Это означает код был внедрен в промежутке между 29 ноября и 9 декабря.

Данные по зараженным файлам мы собрали в таблицу (во вложении).
Точную дату модификации троянами существующих файлов получить невозможно — по FTP мы можем получить только дату создания файла, но не его модификации.
С файлами бэкдоров все проще — бэкдоры не внедрены в существующие файлы, а созданы заново.
Первый бэкдор создан 07.12.2023 в 10:23:09 на сайте kor-center.ru. Второй 07.12.2023 в 10:24:42 на сайте lepestki-vl.ru. Характер заражения свидетельствует об автоматизированном методе взлома.
Это значит, что внешний алгоритм прощупывал сайты на предмет известных уязвимостей и пробовал их эксплуатировать. На момент проверки на хостинге было обнаружено 62 бэкдора: 57 на сайте kor-center.ru, 5 на сайте lepestki-vl.ru.

На данный момент 3 из 4 сайтов на площадке подсовывают вредоносный код.
Это сайты kor-center.ru, kor-center-dev.ru и lepestki-vl.ru.
Сайт flawka-vl.ru пока не подает признаков заражения на клиентской стороне.

Ваше обращение в техническую поддержку хостинга не привело к положительным результатам: все что сделала поддержка, это переименовала директорию подключаемого модуля.
Сам модуль не заражен, но его работа несовместима с текущей инфекцией, что приводит к возникновению 500-ой ошибки. Зараженные файлы функционируют и не изолированы.