Iya itu karena file backdoornya belum dihapus...
Biasanya diumpetin sama hackernya di folder tertentu yang jarang dibuka misalnya wp-includes.
Itu sudah ada petunjuk nama filenya about.php|radio.php|index.php|content.php|lock360.php
Coba cari ke dalam folder, file mencurigakan yang diedit belum...
Bisa jadi masih ada query string di file cache hasil litespeed cache, jadi tidak tersimpan oleh cloudflare.
Saya sendiri kurang cocok pakai coudflare, sering lemot diakses via telkom.
Username harus lengkap: contoh : [email protected]
Kalau masalah email masuk spam, dulu saya pernah.
Solusinya dikasih DMARC, DKM, SPF
Cari aja di Google tutorialnya