Они находятся на разных хостингах, и на каком-то из них появляется этот код.
Является ли код одинаковым на каждом хосте? Можете ли вы привести пример одного из затронутых доменов, чтобы мы могли проверить, существует ли код на стороне сервера, а не только на вашем компьютере (что обычно маловероятно).
Код, который вы разместили, безусловно, очень подозрительный. После декодирования он записывает iframe в http://ecom.rarebreedfootwear.com/? (пытается добавить к URL случайное число кэббастера, но не удается из-за опечатки).
По этому адресу явно нет эксплойта - возможно, последний эксплойт цели еще не установлен, или это просто тестовый запуск для реальной атаки позже, но на вашем сайте появляется неожиданный JavaScript, который декодирует себя и добавляет в фрейме огромный красный флаг. Обычно это означает, что ваш сервер был взломан и нуждается в переустановке с нуля с новыми паролями.
ETA:
вы можете увидеть это, например, по адресу hxxp: //flavicius.php5.cz/
Спасибо. Я удалил комментарий, чтобы скрыть рабочий URL, потому что он действительно заражен. На уровне приложения или самого Apache неясно, но на каждой странице внизу есть подозрительный скрипт.
Таким образом, по крайней мере, приложение и предположительно сервер взломаны и должны быть отключены для очистки, переустановки и диагностики: вам нужно выяснить, как проникли злоумышленники, чтобы это больше не повторилось. На первый взгляд, убедитесь, что у вас установлена последняя версия WordPress, поскольку в прошлом у нее было много дыр в безопасности.