Eliminar código malicioso en header y footer WordPress

Introducción: por qué es crítico eliminar código malicioso en header y footer

El header y el footer de WordPress son dos de las zonas más sensibles de cualquier instalación, porque se cargan en todas las páginas del sitio. Cuando un atacante consigue inyectar código malicioso en estos elementos, obtiene una visibilidad total sobre tus visitas, tus formularios y, en muchos casos, sobre tu panel de administración. Por eso, eliminar código malicioso en el header y footer de WordPress no es solo una tarea de limpieza puntual, sino un paso esencial para recuperar la confianza de los usuarios, proteger tus datos y evitar penalizaciones de buscadores como Google.

Este contenido está pensado para administradores de sitios WordPress, agencias y profesionales que necesitan un procedimiento claro, ordenado y seguro para detectar, eliminar y prevenir infecciones de malware en los archivos que generan el encabezado y el pie de página. Se explican tanto métodos manuales como apoyados en plugins de seguridad, con un enfoque práctico y orientado a minimizar el tiempo de inactividad del sitio.

Síntomas comunes de código malicioso en header y footer

Antes de entrar en la limpieza, es importante reconocer las señales que suelen indicar la presencia de código malicioso en el header o el footer de WordPress. Detectar estos síntomas a tiempo puede evitar daños mayores, como la pérdida de posicionamiento SEO, el robo de datos o la inclusión del sitio en listas negras de navegadores y antivirus.

• Redirecciones automáticas a sitios de spam, casinos, contenido adulto o páginas de phishing.
• Inserción de banners o enlaces extraños en el encabezado o pie de página que no has añadido tú.
• Alertas de Google Search Console sobre contenido hackeado o software malicioso.
• Advertencias de navegadores (Chrome, Firefox, Edge) indicando que la web no es segura.
• Carga de scripts externos desde dominios sospechosos o desconocidos.
• Incremento repentino del consumo de recursos del servidor sin cambios de tráfico significativos.
• Archivos del tema modificados sin que ningún administrador haya realizado cambios.

Cómo hackean el header y footer de WordPress

Comprender cómo se produce la infección ayuda a limpiar de forma más eficaz y a reforzar el sistema para que no vuelva a ocurrir. Los atacantes rara vez modifican solo un archivo: suelen crear puertas traseras y mecanismos de reinfección que se apoyan en el header y el footer para ejecutarse en cada carga de página.

• Vulnerabilidades en plugins o temas: extensiones desactualizadas o mal programadas permiten subir archivos maliciosos o ejecutar código remoto.
• Contraseñas débiles o filtradas: accesos por fuerza bruta o credenciales robadas dan al atacante permisos de administrador o FTP.
• Temas y plugins nulled: versiones pirateadas suelen incluir puertas traseras que inyectan malware en archivos clave del tema.
• Permisos de archivos incorrectos: configuraciones demasiado permisivas (por ejemplo, 777) facilitan la modificación de archivos del tema.
• Infecciones en el servidor: otros sitios vulnerables en el mismo hosting pueden ser el punto de entrada para modificar tu instalación.

Una vez dentro, el atacante suele apuntar a los archivos que se cargan en todas las páginas: header.php, footer.php, functions.php y, en ocasiones, a los hooks wp_head y wp_footer mediante funciones personalizadas. Esto les permite ejecutar su código en todo el sitio, incluso si solo han modificado un archivo del tema.

Preparativos y copias de seguridad antes de limpiar

Antes de eliminar cualquier línea de código, es imprescindible preparar el entorno de trabajo y generar copias de seguridad completas. Una limpieza apresurada sin respaldo puede dejar el sitio inoperativo o hacer más difícil rastrear el origen de la infección.

• Actualiza tus credenciales: cambia inmediatamente las contraseñas de administrador de WordPress, FTP/SFTP, panel de hosting y base de datos.
• Activa el modo mantenimiento: utiliza un plugin de mantenimiento o una página estática para evitar que los usuarios vean contenido malicioso durante la limpieza.
• Realiza una copia de seguridad completa: incluye archivos (wp-content, wp-includes, raíz de WordPress) y base de datos. Puedes usar herramientas del hosting o plugins como UpdraftPlus, Duplicator o similares.
• Descarga la copia de seguridad: guarda una copia local para poder comparar archivos y restaurar en caso de error.
• Prepara un entorno de pruebas (opcional pero recomendado): si es posible, clona el sitio en un subdominio o entorno staging para limpiar sin afectar al entorno de producción.

Análisis y detección de código malicioso

El siguiente paso consiste en localizar con precisión el código malicioso. Aunque el problema se manifieste en el header o el footer, es frecuente que existan múltiples archivos comprometidos. Combinar herramientas automáticas con una revisión manual es la forma más eficaz de detectar la infección completa.

Uso de plugins de seguridad

Los plugins de seguridad pueden ayudarte a identificar archivos alterados, patrones de malware y cambios en el núcleo de WordPress. Algunos de los más utilizados son:

• Wordfence Security: ofrece un escáner de archivos, comparación con el repositorio oficial y detección de malware conocido.
• Sucuri Security: analiza la integridad de archivos, supervisa cambios y ofrece un escáner remoto.
• iThemes Security o All In One WP Security: complementan con reglas de endurecimiento y monitorización de archivos.

Ejecuta un escaneo completo y revisa con atención los archivos marcados como sospechosos, en especial los relacionados con el tema activo y los hooks de cabecera y pie de página.

Revisión manual de archivos clave

Además del escaneo automático, es recomendable revisar manualmente los archivos que con mayor probabilidad contienen el código malicioso:

• /wp-content/themes/tu-tema/header.php
• /wp-content/themes/tu-tema/footer.php
• /wp-content/themes/tu-tema/functions.php
• Cualquier archivo PHP recientemente modificado dentro de /wp-content/

Presta atención a código que no reconozcas, especialmente si está al principio o al final de los archivos, o si aparece envuelto en funciones de ofuscación. Compara con una versión limpia del mismo tema (descargada desde el repositorio oficial o el proveedor) para identificar diferencias.

Eliminar código malicioso del header y footer paso a paso

Una vez identificados los archivos afectados, llega el momento de eliminar el código malicioso del header y el footer. Es fundamental hacerlo de forma metódica para no romper el tema ni dejar restos de la infección.

1. Accede a los archivos de forma segura

Evita, en la medida de lo posible, el editor de archivos integrado en el panel de WordPress, ya que puede estar comprometido o limitado. Utiliza en su lugar:

• Cliente SFTP/FTP seguro (FileZilla, WinSCP, Cyberduck).
• Administrador de archivos del panel de hosting (cPanel, Plesk, panel propio).
• Repositorio Git si tu proyecto está versionado.

2. Localiza y compara los archivos afectados

Descarga los archivos header.php, footer.php y functions.php del tema activo. A continuación, descarga una copia limpia del tema desde su fuente oficial y compara ambos conjuntos de archivos con una herramienta de diff (Meld, Beyond Compare, VS Code con extensión de comparación, etc.).

Las diferencias que no correspondan a personalizaciones que tú mismo hayas realizado son candidatas a ser código malicioso. Revisa especialmente bloques de código añadidos al principio o al final de los archivos, o justo antes de la etiqueta </head> y </body>.

3. Elimina o reemplaza el código malicioso

Tienes dos enfoques principales para limpiar los archivos del tema:

• Reemplazo completo: sustituir los archivos afectados por sus versiones limpias del tema original. Es la opción más segura si no has hecho personalizaciones directas en esos archivos.
• Edición quirúrgica: eliminar únicamente los fragmentos maliciosos, conservando el resto del código. Requiere más experiencia y una revisión cuidadosa.

Si optas por el reemplazo completo, sube los archivos limpios al servidor sobrescribiendo los actuales. Si eliges la edición manual, borra las secciones identificadas como maliciosas y verifica que la sintaxis PHP siga siendo válida (por ejemplo, comprobando que no falten etiquetas <?php o ?> y que no queden paréntesis sin cerrar).

4. Revisa hooks y funciones añadidas

Muchos ataques no modifican directamente el HTML del header o el footer, sino que añaden funciones en functions.php que se enganchan a wp_head o wp_footer. Busca líneas como:

add_action('wp_head', 'nombre_funcion_sospechosa');
add_action('wp_footer', 'nombre_funcion_sospechosa');

5. Verifica el funcionamiento del sitio

Tras limpiar los archivos, borra la caché del navegador, la caché de WordPress (si usas plugins como WP Rocket, W3 Total Cache, etc.) y la caché del servidor (si tu hosting la ofrece). Después:

• Comprueba que el sitio carga sin errores PHP ni pantallas en blanco.
• Revisa el código fuente del front-end (Ctrl+U) para asegurarte de que no se cargan scripts o iframes sospechosos.
• Vuelve a ejecutar un escaneo con tu plugin de seguridad para confirmar que los archivos están limpios.

Limpieza avanzada de archivos y base de datos

Limpiar el header y el footer es un paso clave, pero no garantiza por sí solo que la infección haya desaparecido. Muchos ataques dejan puertas traseras en otros archivos o inyectan código malicioso en la base de datos (por ejemplo, en widgets, menús o entradas). Una limpieza avanzada reduce drásticamente el riesgo de reinfección.

Revisión de otros archivos críticos

Además de los archivos del tema, revisa:

• wp-config.php: busca código añadido al principio o al final del archivo.
• Archivos en la raíz de WordPress: index.php, wp-settings.php, wp-load.php.
• Carpetas /wp-admin/ y /wp-includes/: cualquier archivo PHP con fecha de modificación reciente que no corresponda a una actualización legítima.
• Subcarpetas de /wp-content/uploads/: algunos ataques esconden scripts PHP en esta carpeta, que debería contener solo archivos multimedia.

Búsqueda de puertas traseras

Las puertas traseras permiten al atacante volver a tomar el control incluso después de que elimines el código visible del header y el footer. Para localizarlas, busca patrones como:

• Funciones peligrosas: eval, assert, create_function, preg_replace con modificador /e.
• Datos ofuscados: cadenas largas con base64_decode, gzinflate o combinaciones de varias funciones.
• Archivos con nombres extraños o similares a los originales: por ejemplo, wp-login-old.php, .cache.php, class-wp.php en ubicaciones inusuales.

Revisión de la base de datos

Algunos ataques inyectan JavaScript o iframes maliciosos directamente en el contenido almacenado en la base de datos. Para revisarla:

• Accede a phpMyAdmin o a una herramienta similar desde tu panel de hosting.
• Busca en tablas como wp_posts, wp_postmeta, wp_options y wp_widgets.
• Realiza búsquedas de cadenas sospechosas: <script, iframe, dominios desconocidos o palabras clave relacionadas con spam.

Reforzar la seguridad de WordPress tras la infección

Una vez eliminado el código malicioso del header, footer y resto de archivos, es esencial reforzar la seguridad de tu instalación de WordPress. De lo contrario, el mismo vector de ataque podría utilizarse de nuevo en cuestión de horas o días.

Actualizaciones y limpieza de extensiones

• Actualiza WordPress a la última versión estable disponible.
• Actualiza todos los plugins y temas desde fuentes oficiales.
• Elimina plugins y temas que no utilices; menos código significa menos superficie de ataque.
• Evita siempre temas y plugins nulled o descargados de sitios no oficiales.

Endurecimiento básico (hardening)

Aplica medidas de hardening recomendadas por la propia comunidad de WordPress:

• Desactiva la edición de archivos desde el panel añadiendo en wp-config.php: define('DISALLOW_FILE_EDIT', true);
• Asegúrate de que los permisos de archivos y carpetas son correctos (por ejemplo, 644 para archivos y 755 para directorios).
• Restringe el acceso al panel de administración por IP o mediante autenticación adicional cuando sea posible.
• Instala y configura un firewall de aplicaciones web (WAF) a través de un plugin o de tu proveedor de hosting.

Gestión de usuarios y contraseñas

Revisa la lista de usuarios de WordPress y elimina cuentas sospechosas o innecesarias. Asegúrate de que:

• Solo las personas que realmente lo necesitan tienen rol de administrador.
• Todas las cuentas usan contraseñas robustas y únicas.
• Se ha activado la autenticación en dos pasos (2FA) para los usuarios con mayores privilegios, siempre que sea posible.

Buenas prácticas para prevenir nuevas infecciones

Prevenir es siempre más eficiente que limpiar. Adoptar una serie de buenas prácticas reducirá significativamente las probabilidades de que tu header, footer u otras partes del sitio vuelvan a ser comprometidas.

• Mantén todo actualizado: núcleo, temas y plugins deben estar siempre en su última versión estable.
• Usa solo fuentes confiables: descarga temas y plugins desde el repositorio oficial de WordPress o proveedores reconocidos.
• Implementa copias de seguridad automáticas: programa backups diarios o semanales, almacenados fuera del servidor principal.
• Monitoriza la integridad de archivos: utiliza herramientas que detecten cambios inesperados en archivos clave.
• Protege el acceso al panel: limita intentos de login, utiliza 2FA y evita el usuario "admin" por defecto.
• Contrata un hosting seguro: un buen proveedor ofrece aislamiento entre cuentas, WAF, actualizaciones automáticas y soporte especializado en WordPress.
• Forma a tu equipo: educa a editores y administradores sobre phishing, contraseñas seguras y buenas prácticas de acceso.

Preguntas frecuentes