Cross Site Scripting in Drittanbieterformular

Google sperrte eine Artikelseite eines Online-Magazins wegen Malware. Beim Scannen der WordPress-Dateien mit verschiedenen Tools wurde jedoch nichts Verdächtiges gefunden.
Failed to execute ‚write‘ on ‚Document‘: It isn’t possible to write into a document from an asynchronously-loaded external script unless it is explicitly opened.
Diese in der Chrome Console angezeigte Meldung führte mich schließlich zum Schadcode. Betroffen vom Cross Site Scripting war keine WordPress-Datei, sondern das Newsletterformular eines Drittanbieters (keiner der üblichen, schien handgestrickt und auch schon älter zu sein), das über einen Iframe eingebunden worden war.