Ну собственно опять лечу WP от шеллов)) в файле header.php обнаружил включение инородного JS скрипта. Судя по логам сервера добавили его туда из админки WP)) файл в вложении) --- Добавлено --- да)) немного подробностей)) файл загружался с другого ресурса.. поэтому всякие там антивирусы его не видели..
на чем у человека сайт сделан - на том и работаю)) в WP прекрасная админка)) заказчик видит именно ее.. а приходить и говорить что у вас все фигня давайте я сделаю на своем велосипеде или на yii2) это не правильно) зачем человеку лишний гемор)) у него все работает)) просто надо что то исправить/доделать))