Hay una pregunta canónica titulada "¿Cómo trato? ¿Con un servidor comprometido? ". Ya que estás en un host compartido, hay algunas limitaciones a lo que puedes hacer. Todavía te recomiendo encarecidamente que leas la respuesta completa aceptada.
A continuación, analizaré cómo esto se aplica a su situación (es decir, en un alojamiento compartido). Las citas son de la respuesta mencionada.
1. Baje su sitio.
Cualquier otro problema que tengas, dejar el sistema conectado a la web solo permitirá que el ataque continúe.
No puede estar seguro de haber eliminado todas las infecciones. ¡En este mismo momento, es muy probable que esté propagando malware a sus usuarios!
2. Control de daños.
Cambie todas sus contraseñas para todas las cuentas en todas las computadoras que estén en la misma red que los sistemas comprometidos.
Comprueba tus otros sistemas. Preste especial atención a otros servicios de Internet y a aquellos que poseen datos financieros u otros datos comerciales sensibles.
Si el sistema almacena datos personales de cualquier persona, informe de inmediato a la persona responsable de la protección de datos (si no es usted) e INSTE una divulgación completa.
3. Intenta averiguar qué ha pasado.
Si acaba de volver a poner su sitio como estaba, lo mismo volverá a suceder. Tienes que tratar de entender qué salió mal.
Con el alojamiento compartido, esto puede ser difícil, ya que es posible que los piratas informáticos utilicen una vulnerabilidad en el software del servidor o en la cuenta de otras personas. Deberá contactar a su proveedor de alojamiento y pedirle que lo ayude con esto. No se puede dar por sentado que cooperarán. Si no lo hacen, te recomiendo que leas tu contrato y posiblemente te comuniques con un abogado para averiguar qué derechos tienes.
Sin embargo, puede examinar algunas cosas por su cuenta, a saber, su propio sitio. Ir a través de todo el software que ejecuta (WordPress, Magento, etc). ¿Estás ejecutando las últimas versiones? ¿Está ejecutando algún plugin? ¿Existen agujeros de seguridad conocidos en las versiones o complementos que está ejecutando? Especialmente los complementos de WordPress son delincuentes frecuentes cuando se trata de seguridad.
Hay algunos forenses limitados que puedes hacer por tu cuenta. Si tiene copias de seguridad, compárelas para ver qué archivos se han modificado a qué hora. El JavaScript inyectado que descubrió podría no ser lo único que cambiaron los atacantes. Es posible que haya habido varios cambios en varias ocasiones (posiblemente por varios atacantes), por lo que no puede estar seguro de que la fecha en la que se cambiaron los archivos de JavaScript fue la fecha de la violación inicial.
Especialmente si ejecuta gran parte de su propio código, es posible que desee hacer un pentest más detallado para encontrar vulnerabilidades.
4. Considera un nuevo alojamiento.
Especialmente si la infracción fue "su culpa" o si no le ayudaron a determinar la causa de la infracción, podría ser el momento de pasar a un nuevo alojamiento. Como han mencionado otros, un VPS es más seguro, pero también puede requerir más esfuerzo de su parte para ejecutar.
5. Vuelve a hacer una copia de seguridad de tu sitio.
Restaurar archivos estáticos de una copia de seguridad antes de la violación. Reinstale todo el software, y use solo las últimas versiones. Así que no solo copie y pegue los archivos de su antigua instalación vulnerable de WordPress al servidor desde una copia de seguridad.
Y, obviamente, solucione cualquier problema descubierto durante el paso # 3.