Google sperrte eine Artikelseite eines Online-Magazins wegen Malware. Beim Scannen der WordPress-Dateien mit verschiedenen Tools wurde jedoch nichts Verdächtiges gefunden.

Failed to execute 'write' on 'Document': It isn't possible to write into a document from an asynchronously-loaded external script unless it is explicitly opened.

Diese in der Chrome Console angezeigte Meldung führte mich schließlich zum Schadcode. Betroffen vom Cross Site Scripting war keine WordPress-Datei, sondern das Newsletterformular eines Drittanbieters (keiner der üblichen, schien handgestrickt und auch schon älter zu sein), das über einen Iframe eingebunden worden war.

Was man über iframes einbindet schadet der eigenen Website, wenn es nicht sicher ist.