Descubrir que tu WordPress está hackeado es horrible. Una de esas cosas que no le deseas a nadie. Las páginas redirigen a sitios raros, aparecen anuncios que no pusiste, o el sitio se cae sin más. Pero ojo, no todo está perdido. Con un método claro y las herramientas justas, se puede limpiar y retomar el control. Esta guía va paso a paso: desde darte cuenta del problema hasta evitar que vuelva a pasar. Si en algún momento te ves superado, en RedServicio (redservicio.net) echamos una mano con estos líos técnicos.
Índice
- 1 1. ¿De verdad está hackeado?
- 2 2. Aislar el sitio. Prioridad uno
- 3 3. Copia de seguridad del estado actual (sí, del infectado)
- 4 4. ¿Dónde está el código malicioso?
- 5 5. Eliminar el malware. Manos a la obra
- 6 6. Usuarios y contraseñas. Pon orden
- 7 7. Comprobar que la limpieza funcionó
- 8 8. Que no se repita. Medidas de seguridad
- 9 Para terminar
1. ¿De verdad está hackeado?
Antes de actuar, confirma. Los síntomas más comunes:
- Redirecciones que no pediste a páginas de terceros.
- Contenido raro o spam en entradas y páginas.
- El navegador te avisa: «Este sitio puede estar comprometido». Google también.
- El rendimiento se cae de repente, o el ancho de banda se dispara.
- Aparecen usuarios administradores que no creaste.
Si ves al menos dos de estos, lo más probable es que esté infectado. Pasa a la acción.
2. Aislar el sitio. Prioridad uno
Lo primero es frenar el daño. Que el malware no se pase a otros sitios en el mismo servidor. Haz esto:
- Modo mantenimiento: Un plugin o un archivo
.maintenanceen la raíz con un texto temporal. - Cambia todas las contraseñas: Admin de WordPress, FTP, cPanel, base de datos. Claves fuertes, mínimo 16 caracteres con símbolos.
- Revoca claves de API y tokens de servicios externos que tengas conectados.
- Activa un firewall temporal a nivel de aplicación o servidor, si puedes.
3. Copia de seguridad del estado actual (sí, del infectado)
Suena raro, pero es necesario. Antes de limpiar, haz un respaldo del sitio tal como está. Luego podrás analizar el malware o restaurar si algo sale mal. Usa el panel de hosting o un plugin como UpdraftPlus para bajar copia completa (archivos + base de datos). Guárdala fuera del servidor.
Consejo: No subas ese backup a un servidor público. Guárdalo en tu ordenador o en la nube privada. Si necesitas ayuda para extraer datos sin contaminar tu entorno, en RedServicio podemos echarte una mano.
4. ¿Dónde está el código malicioso?
Toquemos las herramientas. Varias opciones gratuitas y de pago:
- Wordfence: Escanea archivos centrales, plugins y temas buscando firmas de malware.
- Sucuri SiteCheck: Examina el sitio en busca de malware conocido, listas negras y redirecciones.
- Escaneo manual con SSH: Si tienes acceso, busca archivos modificados recientemente:
find . -type f -mtime -7 -name "*.php". - Base de datos: Revisa las tablas
wp_postsywp_options. En phpMyAdmin, una consulta comoSELECT * FROM wp_posts WHERE post_content LIKE "%<script%";puede destapar cosas.
Presta atención a functions.php del tema, .htaccess y la carpeta wp-includes. Ahí suelen esconder código ofuscado.
5. Eliminar el malware. Manos a la obra
Una vez localizados los archivos malos, los borras o los reemplazas con versiones limpias. Este orden funciona:
- Reemplaza archivos del núcleo de WordPress: Descarga una copia fresca de wordpress.org y sobrescribe todo excepto
wp-config.phpy la carpetawp-content(si tienes temas y plugins personalizados). - Elimina plugins y temas infectados: Desactívalos desde el panel (si puedes entrar) o directamente desde FTP borrando carpetas.
- Limpia la base de datos: Usa herramientas como Better Search Replace o SQL directo para quitar inyecciones. Busca tags
<script>,<iframe>obase64_decodeque no deberían estar. - Revisa .htaccess: Restáuralo al contenido por defecto de WordPress (lo generas desde Ajustes > Enlaces permanentes).
¿Y si borro todo y reinstalo de cero? No siempre hace falta. Si solo unos archivos están comprometidos, con reemplazarlos basta. Pero si el hackeo es profundo o no sabes hasta dónde llegó, una reinstalación limpia da más tranquilidad.
6. Usuarios y contraseñas. Pon orden
El hacker pudo crear cuentas admin ocultas. Revisa la tabla wp_users y borra cualquier usuario que no reconozcas. Cambia la contraseña de los legítimos y activa autenticación de dos factores para todos los administradores.
7. Comprobar que la limpieza funcionó
Después de limpiar, haz comprobaciones a fondo:
- Vuelve a ejecutar Wordfence o Sucuri. Que no queden amenazas.
- Mira Google Search Console por si aún notifica contenido malicioso.
- Navega por todas las páginas internas tú mismo, incluido el panel de administración.
- Monitorea el tráfico durante 48 horas. Busca comportamientos extraños.
Si todo parece normal, quita el modo mantenimiento y vuelve a poner el sitio online.
8. Que no se repita. Medidas de seguridad
Una vez limpio, pon barreras para otro ataque:
- Actualiza WordPress, temas y plugins a lo último. Elimina lo que no uses.
- Cambia el prefijo de la base de datos de
wp_a algo personalizado (si puedes en un entorno controlado). - Instala un plugin de seguridad como Wordfence o iThemes Security con el firewall activo.
- Copias de seguridad automáticas diarias (archivos y base de datos) guardadas fuera del servidor.
- Contraseñas robustas y limita los intentos de inicio de sesión.
También va bien un servicio de monitoreo continuo. En RedServicio tenemos planes de mantenimiento preventivo con escaneos periódicos y actualizaciones automáticas.
Para terminar
Limpiar un WordPress hackeado es paciente y requiere método, pero se puede hacer si sigues los pasos correctos. Desde darte cuenta a tiempo hasta restaurar y prevenir, cada etapa importa para que el sitio quede seguro. No te confíes: las copias de seguridad periódicas y mantener todo actualizado son clave. Si en algún momento te sientes inseguro o el hackeo se te va de las manos, recuerda que en RedServicio (redservicio.net) hay expertos en hosting, WordPress y servidores listos para ayudarte a recuperar tu sitio y blindarlo. Tu tranquilidad es lo que importa.
