wss.php gehackt?

Lade dir das original Paket runter und vergleiche das mit deinen Dateien.

 

Das wird eine Schaddatei sein, ich wüsste nicht was eine wss.php im wp-content Ordner verloren haben sollte.
Du könntest deine Seite mal mit Wordfence scannen und dabei in den Scan Options (entgegen der Standardeinstellung) die Plugins, Themes und "Files outside your WordPress Installation" miteinbeziehen.
Die Core Dateien werden dabei ebenfalls verglichen.

Gruß

Pascal

 

Definitiv ein Hack.

Eine Datei dieses Namens an dieser Stelle wird in der Regel eingebaut, um Weiterleitungen o.ä. bzgl. Phishing ("Benutzerdatenklau") zu hinterlegen.

Weiteres Vorgehen: Anhand Server-Logs & Backups feststellen, wann/woher der Hack kam, Lücke identifizieren, Lücke schliessen. Wenn das erledigt ist: Alle Systemdateien von WordPress ersetzen, dafür wp-admin/ und wp-includes/ komplett löschen. Alle Plugins durch saubere Versionen ersetzen, dafür alle Ordner in wp-content/plugins/ löschen, gleiches gilt für das Theme. Alle PHP-Dateien in wp-content/uploads/ suchen/löschen. Alle Passwörter ändern, FTP, MySQL, WordPress Accounts, usw.

 

Die Access Logs kannst du im Schnelldurchlauf hier checken (WIP) - für die Detailanalyse ein guter Ausgangspunkt.
Wenn du wie von @b3317133 beschrieben die Seite vollständig runderneuerst, kannst du dir das aber im Grunde auch sparen.

 

Access Logs auf fremde Server hochzuladen sollte man sich allerdings genau überlegen, da können u.U. auch Inhalte wie Session-IDs o.ä. enthalten sein, mit denen man Unfug treiben kann.