※特にWordPressを使用している場合、設置してあるサーバーのディレクトリ内に見慣れないファイルがあるか確認してみるべきです。既存のファイルでも、冒頭に以下のような記述があるかもしれません。
<?php eval("lkxlxzcjlkvkcclkaldkfjls・・・(一見無意味な暗号化された文字)" ?>
暗号をデコードしてやると、サイト乗っ取りや変なサイトにリダイレクトさせるコードだったりします。
”検索エンジン経由のアクセスの場合は、xxx(別のサイト)にリダイレクトする"といったコードが埋め込まれるケースが多発しています。あと、仮想通貨の発掘処理にサーバーが利用されるとか。
サイト管理者は、自分のサイトにわざわざ検索サイト経由で来ないですよね。
なので気づきにくいです。