Contacto Área de Clientes
Seguridad

Mi WordPress fue hackeado: guía de emergencia para recuperarlo

Tu WordPress está infectado, redirige a otra web o muestra contenido raro. Guía paso a paso para detectar, limpiar y proteger tu WordPress.

José Manuel Ramírez 8 min de lectura
Pantalla mostrando código de WordPress infectado con marcas rojas señalando archivos sospechosos

Si estás leyendo esto es porque tu WordPress muestra contenido raro, redirige a otra web, sale de Google Safe Browsing como “sitio peligroso”, o tu hosting te ha avisado de actividad sospechosa. Respira: se puede recuperar. Esta guía te lleva paso a paso. Pero no toques nada hasta leer el primer apartado: borrar archivos sin método o cerrar la web sin entender el ataque puede empeorar las cosas y, sobre todo, te puede dejar sin evidencias para limpiar bien.

Lo PRIMERO que debes hacer (no perder tiempo)

Antes de “arreglar nada”:

  1. Documenta todo. Captura de pantalla del problema, hora exacta de detección, comportamiento concreto (¿redirige siempre? ¿solo desde móvil? ¿solo desde Google?). Esto te servirá para identificar el tipo de ataque
  2. NO cierres la web pública todavía. Si la tumbas, pierdes acceso a información útil (logs, comportamiento) y Google empezará a marcar tu dominio como inactivo
  3. NO borres archivos sin tener backup primero. El malware muchas veces se esconde en archivos modificados, no en archivos nuevos. Borrar sin método es la receta para perder partes del WordPress legítimo
  4. Cambia TODAS las contraseñas, en este orden:
    • Panel del hosting
    • FTP / SFTP
    • Base de datos (desde el panel del hosting)
    • WordPress admin (todos los usuarios con rol administrador)
    • Cuentas de correo asociadas al dominio
  5. Haz copia de seguridad COMPLETA antes de tocar nada. Sí, incluso de la web infectada. Lo necesitas como evidencia y como punto de restauración si algo sale mal en la limpieza

Una vez tengas estos cinco puntos hechos, puedes empezar a analizar.

Detectar el tipo de hackeo (síntomas y causas)

No todos los hackeos son iguales. Identificar el tipo te orienta sobre dónde buscar y cómo limpiar.

Defacement (página alterada)

El atacante modifica la portada o algunos posts. Suele ser visible: “Hacked by XYZ” o contenido político. Causa más frecuente: contraseña débil en admin. Es el más visible y, paradójicamente, el más fácil de limpiar.

Inyección de spam SEO

Enlaces ocultos en el código fuente hacia webs de viagra, casinos, pastillas, esquemas piramidales. Visualmente la web parece normal. Lo detectas mirando el código fuente (Ctrl+U en el navegador) o en Google Search Console (impresiones por keywords raras como “buy cheap viagra”). Es muy frecuente y muy dañino para el SEO.

Redirección maliciosa

La web redirige a otra distinta. A veces solo desde móvil, a veces solo cuando vienes de Google. Es un patrón típico: el atacante quiere monetizar el tráfico que llegaba a tu web hacia el suyo. Suele estar metido en .htaccess o en un plugin modificado.

Pharma hack

Google indexa páginas farmacéuticas en tu dominio (tudominio.es/cialis-online/...). Tú no las ves en el admin, pero Google sí. Lo detectas en Search Console o buscando site:tudominio.es viagra en Google. Es uno de los más difíciles de limpiar.

Malware en archivos PHP

Ficheros PHP del WordPress modificados con código ofuscado (eval(base64_decode(...))), o subidas de archivos PHP sospechosos en /wp-content/uploads/. Suele ser puerta a backdoors y a otros ataques.

Backdoor

Un archivo escondido (a veces con nombre inocente como wp-options.php) que permite al atacante volver a entrar aunque cambies contraseñas. Es lo MÁS importante a eliminar: si solo limpias el malware visible y dejas el backdoor, la infección reaparece.

Limpieza paso a paso

Paso 1: Análisis con herramientas gratuitas

Empieza con escáneres externos que no requieran tocar nada:

  • Sucuri SiteCheck (sitecheck.sucuri.net): escaneo externo. Detecta defacement, redirecciones, blacklists, indicadores de infección. Es la primera parada
  • VirusTotal (virustotal.com): permite subir archivos individuales sospechosos y analizarlos con 70+ antivirus a la vez
  • Google Search Console > Seguridad y acciones manuales: te dice si Google ha detectado problemas concretos en tu sitio y qué páginas afectan

Anota todo lo que sale.

Paso 2: Identificar archivos modificados

Esta es la parte más técnica. Hay dos enfoques:

  • Comparar contra el WordPress oficial. Descarga la misma versión exacta de WordPress desde wordpress.org/download/release-archive/. Compara archivo a archivo con el de tu servidor (con diff por SSH si lo tienes, o con un plugin tipo Wordfence Scanner que lo hace automáticamente)
  • Buscar archivos PHP con fechas modificadas recientes en /wp-content/, /wp-includes/, /wp-admin/. Cualquier .php modificado en los días previos al ataque es sospechoso

Plugins que ayudan automatizando: Wordfence, MalCare, iThemes Security Pro. Wordfence en su versión gratuita ya es muy potente para esto.

Paso 3: Limpiar la base de datos

El malware también vive en la BD. Conéctate por phpMyAdmin (desde el panel del hosting) y revisa:

  • wp_users: ¿hay usuarios admin que no deberían estar? Bórralos
  • wp_options: busca filas con keys extrañas o valores con código ofuscado. Las opciones típicamente maliciosas tienen nombres como wp_options.bot_check, secret_admin_key, etc.
  • wp_posts: busca posts con estado “publicado” pero ocultos (tipo post_type = 'attachment' con post_content lleno de spam), o autores que no existen ya

Paso 4: Reinstalar el core y plugins desde cero

La forma más segura de eliminar el malware:

  1. Backup completo previo (otra vez, por si acaso)
  2. Borra y reinstala WordPress core desde el panel: WordPress → Actualizaciones → Reinstalar versión X.X
  3. Borra todos los plugins (Plugins → Plugins instalados → Borrar). Tras borrar, reinstala cada uno desde el repositorio oficial. Si tienes plugins premium, descarga el zip oficial del vendedor — NO uses versiones “nulled”
  4. Cambia a un tema oficial mientras limpias (Twenty Twenty-Four, por ejemplo). Tu tema puede estar comprometido y reinstalarlo desde su fuente original tras la limpieza
  5. Mantén wp-config.php y /wp-content/uploads/, pero revísalos: en uploads/ busca archivos .php (no debería haber ninguno) y bórralos

Paso 5: Verificar la limpieza

Tras la limpieza:

  • Vuelve a pasar Sucuri SiteCheck: debe salir limpio
  • Pide revisión manual en Google Search Console > Seguridad y acciones manuales (si tu sitio estaba marcado)
  • Espera 24-48 h y vuelve a escanear. Algunos malwares son persistentes y reaparecen si quedó un backdoor

Si tras 48 h la infección reaparece, queda un backdoor: necesitas escaneo más profundo o ayuda profesional.

Por dónde entran los hackers (las 5 puertas)

Conocer las vías más comunes te ayuda a cerrarlas y a prevenir el siguiente:

  1. Contraseñas débiles en el admin de WordPress. Con un diccionario y unas horas de bruteforce caen muchos sitios
  2. Plugins o temas desactualizados con vulnerabilidades conocidas y exploits públicos
  3. Plugins/temas pirateados (nulled) descargados de sitios warez: vienen con backdoors instaladas de fábrica
  4. Hosting compartido infectado por otro cliente vecino: un atacante compromete una web del mismo servidor y, si la configuración de aislamiento es mala, salta a las demás
  5. Inyecciones SQL por plugins mal codificados que no sanitizan las queries

Cómo blindar WordPress después del hackeo

Tras la limpieza, blinda la web para evitar repetir:

  • Mantén WordPress, plugins y tema SIEMPRE actualizados. Activa actualizaciones automáticas si es posible
  • Contraseñas fuertes + 2FA en el admin. Plugin: Wordfence Login Security o Two Factor (oficial)
  • Limita los intentos de login (plugin: Limit Login Attempts Reloaded). Bloqueo automático tras 5 fallos
  • Cambia el prefijo wp_ de la base de datos por uno aleatorio (solo en nuevas instalaciones es trivial; en webs ya activas hay que migrar tablas)
  • Desactiva el editor de archivos desde el admin. Añade en wp-config.php: define('DISALLOW_FILE_EDIT', true);
  • Esconde /wp-admin tras una URL personalizada. Plugin: WPS Hide Login
  • WAF (Web Application Firewall): Wordfence Premium, Cloudflare WAF, o Imunify360 del lado del servidor
  • Hosting con scanner de malware activo. En Bonecloud todos los planes incluyen Imunify360, que detecta y aísla amenazas a nivel servidor antes de que lleguen a tu WordPress

Cuándo llamar a un profesional

A veces la limpieza manual no es suficiente. Pide ayuda profesional si:

  • Has limpiado y la infección vuelve en 24-72 h (queda backdoor que no detectas)
  • Has perdido posicionamiento SEO grave por el hackeo
  • Google ha marcado tu web como peligrosa y necesitas revisión manual rápida
  • Tienes tienda online (las tiendas hackeadas requieren peritaje para evitar responsabilidad legal por filtración de datos)
  • No tienes acceso al servidor o no te ves con conocimientos técnicos para la limpieza

En Bonecloud ofrecemos servicios de recuperación de WordPress hackeado en 24-48 h con peritaje técnico incluido.

Cómo prevenir el próximo hackeo

Las cinco medidas que, juntas, eliminan el 95% de los ataques:

  1. Hosting con Imunify360 o equivalente — escaneo continuo, aislamiento de procesos, WAF
  2. Backups externos diarios (no en el mismo servidor): si todo falla, restauras y listo
  3. Actualizaciones automáticas de core y plugins (con backup previo automático)
  4. Auditoría de seguridad cada 6 meses: revisión de plugins, usuarios, permisos, logs
  5. 2FA obligatorio en el admin para todos los usuarios con rol superior a editor

Protege tu WordPress de futuros ataques

En Bonecloud todos los planes WordPress incluyen Imunify360, backups diarios externos y actualizaciones gestionadas — la mayoría de los ataques que vemos a clientes nuevos no habrían ocurrido si hubieran llegado a tiempo a una de estas tres medidas. Si tu web ha sido hackeada y necesitas recuperarla ya, escríbenos urgente y te ayudamos a limpiarla y blindarla.

Etiquetas: #wordpress#seguridad#hackeo#malware#recuperación

Artículos relacionados

Más de 50 migraciones realizadas · 0 incidencias

Tu Empresa Merece Hosting que Funcione. Siempre.

Migración gratuita incluida. Sin permanencia. Sin sorpresas en la factura. El mismo servidor en el que confiamos para nuestros propios clientes.
Elegir mi plan ahora Hablar con un técnico
30 días de garantía de satisfacción Migración gratuita desde cualquier hosting Soporte técnico real en español

Sin permanencia mínima · Cancela cuando quieras