wordpress po hacku SEO spam injection

Mam problem ze stroną, która została zainfekowana seo spam injection.
W momencie, kiedy dostałem zadanie „wyprowadzenia jej na prostą” strona miała już kilkaset/kilka tysięcy linków do stron typu torrent, podróbki butów, kasyna etc, przy czym linki były widoczne tylko dla wyszukiwarki (po wpisaniu w google site:adresstrony.pl pojawiało się ok 20000 wpisów), ponadto włamywacz dodał się jako nowy właściciel do google search console i cofnął weryfikację prawowitej właścicielce, w związku z czym nie dostała informacji o zablokowaniu wyświetlania strony w wyszukiwarkach. Jak wyglądała sytuacja po hacku:

• dodana tabela wp_dolly, zawierająca spamowe linki
• mnóstwo spamowych linków w wp_posts
• zmodyfikowany index.php + crontab, który przywracał zainfekowaną wersję
• umieszczane w różnych miejscach pliki typu wp-data.php, wp-user.php zawierające spamujące skrypty
• katalog temp/u zawierający tysiące plików txt z linkami w base64
• katalog bk_tem_bk zawierający wersję strony dla google botów
• setki linków w plikach txt w base64 w folderze uploads

Zablokowałem dostęp do FTP dla wszystkich ip z wyłączeniem mojego, zmieniłem wszystkie hasła i klucze, sprawdziłem logi (niestety, włam był starszy niż najstarsze logi na serwerze), usunąłem podejrzane pliki, zablokowałem ip, które generowały ruch do tych plików, na wszelki wypadek zablokowałem w htaccess cały ruch z Azji (większość linków była po japońsku).
Mam wrażenie, że wszystko powinno już banglać, ale… No właśnie. Google odblokowało stronę, żaden nowy syf nie pojawia się na FTP, monitoruję ruch (Wordfence + Sucuri), sprawdzam Screaming Frogiem i wszystko wygląda ok, a jednak po wpisaniu w google site:adresstrony.pl nadal mam tysiące spamerskich japońskich linków typu adresstrony.pl/fxc_2317_latup. Czy coś przegapiłem?