Desinfectar WordPress con WP CLI de forma segura

Si necesitas desinfectar WordPress con WP CLI, lo más importante es entender qué sí puede hacer la línea de comandos y qué no conviene asumir sin validar. WP-CLI permite auditar el estado de la instalación, verificar la integridad del core, listar componentes, reinstalar archivos legítimos y acelerar comprobaciones, pero no garantiza por sí solo que una intrusión compleja quede resuelta.

En términos prácticos, desinfectar una web WordPress con WP-CLI implica revisar la instalación desde servidor con copia de seguridad previa, criterio técnico y control de cambios. Es una vía muy útil para investigar y limpiar con orden, pero si hay malware ofuscado, puertas traseras fuera del directorio web o credenciales comprometidas, puede hacer falta un análisis más profundo.

Qué significa desinfectar WordPress con WP-CLI y cuándo tiene sentido usarlo

Usar WP-CLI para limpiar una web WordPress infectada significa trabajar desde terminal sobre una instalación concreta para comparar, revisar y restaurar componentes legítimos con menos fricción que desde el panel. Tiene sentido cuando tienes acceso SSH, permisos suficientes y una instalación identificable, especialmente si el panel de administración falla, va lento o no resulta fiable tras el incidente.

Aun así, conviene ser prudente: WP-CLI ayuda mucho a verificar integridad WordPress, revisar plugins, temas, usuarios o cron, pero no sustituye un análisis forense si la infección es seria o recurrente. En hostings compartidos o entornos con permisos muy restringidos, algunas comprobaciones pueden quedarse cortas o requerir apoyo adicional del proveedor.

Preparación segura antes de tocar archivos o base de datos

Antes de modificar nada, crea un backup completo de archivos y base de datos. Si tu infraestructura lo permite, mejor aún un snapshot. Si la web sigue online y existe riesgo de reinfección o envío de spam, valora activar mantenimiento temporal o trabajar sobre un staging cuando sea viable.

También conviene registrar cada cambio: qué archivo se reemplaza, qué plugin se desactiva y qué usuario se revisa. Esa trazabilidad ayuda mucho si necesitas revertir una acción o demostrar qué se ha hecho.

• Confirma la ruta correcta de la instalación antes de ejecutar comandos.
• Comprueba la versión con wp core version.
• Exporta la base de datos con wp db export si el entorno lo permite.
• Evita automatizar borrados masivos sin revisar antes los hallazgos.

Cómo revisar el core, plugins y temas desde la terminal

El primer paso técnico razonable es validar el núcleo de WordPress. Un comando habitual es wp core verify-checksums, que compara los archivos del core con los checksums oficiales. Si aparecen diferencias, no siempre implican malware, pero sí exigen revisión inmediata porque pueden señalar cambios no autorizados o archivos alterados.

Si confirmas que el core está manipulado y no hay personalizaciones indebidas en esos archivos, una medida relativamente segura es reinstalar el núcleo con wp core download --skip-content --force. Eso restaura los archivos estándar de WordPress sin tocar plugins ni uploads, aunque conviene verificar antes la compatibilidad del entorno y mantener copia previa.

Después, revisa extensiones activas e inactivas. Con wp plugin list y wp theme list puedes detectar componentes desconocidos, abandonados o inesperadamente activos. Si un plugin o tema parece comprometido, lo prudente suele ser reemplazarlo por una copia legítima desde su fuente oficial, no editar archivos a ciegas.

Qué señales merecen atención

• Plugins o temas que no reconoces o cuyo autor no puedes verificar.
• Componentes desactualizados con vulnerabilidades conocidas.
• Archivos modificados recientemente sin motivo de mantenimiento claro.

Qué revisar en uploads, usuarios y base de datos si sospechas de malware

En muchas incidencias, el problema no está solo en el core. Revisa uploads en busca de archivos PHP, nombres aleatorios o rutas anómalas. WordPress no necesita ejecutar PHP dentro de uploads en un escenario normal, así que su presencia merece análisis. Según el servidor, puedes apoyarte en utilidades del sistema junto con WP-CLI para localizar archivos sospechosos sin borrarlos de inmediato.

En usuarios, lista cuentas con privilegios elevados usando wp user list --role=administrator. Si aparece una cuenta no reconocida, documenta el hallazgo antes de actuar y revisa también si hay cambios de correo, perfiles editados o accesos recientes incoherentes.

La base de datos también puede contener carga maliciosa, redirecciones o inyecciones en opciones. Con wp option list y búsquedas selectivas mediante wp db query, puedes revisar valores extraños en siteurl, home, opciones de plugins o tareas programadas. En cron, wp cron event list ayuda a detectar eventos sospechosos que reintroducen código o ejecutan llamadas no esperadas.

Si necesitas una referencia oficial sobre comandos y sintaxis, la documentación de WP-CLI en WordPress.org es la fuente más segura para validar cada operación antes de ejecutarla.

Medidas de hardening después de la limpieza

Tras limpiar WordPress infectado, el trabajo no termina. Si no corriges la vía de entrada, la infección puede repetirse. Empieza por actualizar WordPress, plugins y temas; elimina lo que no uses; revisa permisos de archivos y directorios; y comprueba que no haya cuentas innecesarias con privilegios altos.

• Rota contraseñas de administración, SFTP/SSH, base de datos y panel de hosting.
• Revisa claves y salts de WordPress si el incidente lo aconseja.
• Desactiva o restringe ediciones de archivos desde administración si encaja con tu operativa.
• Monitoriza logs, cambios de archivos y tareas cron durante los días siguientes.

En resumen, desinfectar WordPress con WP CLI sirve para auditar, verificar integridad, restaurar componentes legítimos y acelerar una limpieza ordenada. Lo que no conviene automatizar sin revisar son los borrados masivos, las sustituciones indiscriminadas en base de datos o cualquier acción que oculte la causa real. Si la infección persiste, reaparece o afecta a varias cuentas del servidor, el siguiente paso razonable es una revisión técnica más profunda del hosting, credenciales y vector de entrada, idealmente con apoyo especializado.