Ola de web redireccionadas a spam

Saludos cordiales:

Por lo que veo, esta noche ha habido una serie de ataques de redirecciones a páginas de spam y de timos en general. Voy a abrir este hilo para contar un poco mi experiencia y qué sospecho qué es, a ver si entre todos sacamos algo en claro.

1. El administrador recibe un email de nuevo usuario registrado. Este mensaje también se puede recibir desde WordFence.

2. Comienzan las redirecciones. Nosotros hemos conseguido solucionar el tema con copias de seguridad antiguas, pq copias de seguridad de hace una semana no han funcionado.

3. Algunas webs tenía WordPress 4.9.8 y otras WordPress 5.1.1, cada una con temas diferentes de ThemeForest.

4. La mayoría de plugins estaban actualizados, y no había ninguno del año de la pera.

5. Las webs tenían instalada la versión free de WordFence y la pro de Ithemes Security Pro.

Mi sospecha: es un ataque a través de plugins. ¿Qué plugins tienen en común las webs atacadas? Pues los más comunes:
* Contact Form 7 y addons como Conditional Fields, Redirection y DB.
* Convert Plus.
* Duplicate Post.
* Easy WP SMTP.
* Flamingo.
* GDPR Cookie Consent.
* Hybrid Gallery.
* iThemes Security Pro.
* Loco Translate.
* Really Simple SSL.
* Slider Revolution.
* WordFence Security.
* WP Rocket.
* WPBakery Page Builder.
* Yoast SEO.

La lista es muy grande, pero espero durante el día de hoy poder ir eliminando sospechosos.