Убрать вирус с сайта WordPress и найти причину его появления

Сегодня заметил, что на сайте появился какой-то вирус. При первом клике на любой странице - открывается какой-то "левый" сайт в новом окне.

Нашел код, который это делает. Он был добавлен в файл footer.php основного шаблона сайта. Последнее изменение файла 29.12.2017 4:25:33. Выглядит код вот-так - https://goo.gl/G36qMS (все, что до тега 

- было добавлено вирусом). Этот код я удалил с сайта, но оставил у себя для анализа.

Также в главной директории сайта появился файл ".ips1.txt", в котором более 2 тыс каких-то IP адресов и этот файл постоянно кем-то обновляется. И ещё там же появился файл ".SIc7CYwgY" со следующим содержимым "IyUOPGlbfjAQGSM0UB1sLh9pEzZB". Эти 2 файла я пока оставил.

Нужно разобраться откуда это все взялось и закрыть "дыру", чтобы больше не появлялось.

Проверил логи FTP - там чисто. + стоит защита на вход по списку IP адресов. Вход в хостинг аккаунт также под OTP паролем.