Eliminar malware en WordPress paso a paso seguro

Eliminar malware en WordPress no consiste solo en borrar archivos sospechosos. El objetivo real es cortar el daño, localizar la puerta de entrada, limpiar archivos y base de datos con criterio y endurecer la instalación para reducir recaídas según el caso.

En muchos casos los indicios aparecen como redirecciones spam, alertas del hosting, avisos en Search Console, un usuario admin falso o ficheros PHP que no deberían existir. Otros síntomas, como pantalla blanca o error crítico, también pueden deberse a conflictos de plugins, memoria o versiones de PHP, así que conviene validar antes de asumir un hackeo confirmado.

Cómo saber si tu WordPress está infectado

La infección suele detectarse por una combinación de señales, no por un único síntoma. Entre los indicios más habituales están las redirecciones spam en móvil, páginas nuevas no creadas por tu equipo, alertas de blacklist de Google, cambios en el archivo .htaccess, usuarios administradores desconocidos o código ofuscado en PHP.

También conviene revisar si el hosting ha bloqueado procesos, si hay picos extraños de consumo, si aparecen tareas programadas inesperadas o si se modificaron archivos en fechas que no encajan con despliegues reales. Un escáner de seguridad puede ayudar al diagnóstico, pero no garantiza detectar todas las persistencias ni sustituye la revisión manual.

Qué hacer antes de limpiar un sitio hackeado

Antes de limpiar una web infectada, lo prudente es contener el incidente. Si el negocio lo permite, activa un modo mantenimiento o restringe el acceso para evitar que siga distribuyendo malware o capturando datos. Si el hosting ofrece aislamiento de cuenta o cambio temporal de raíz pública, puede ser útil según el alcance.

Después, crea una copia forense de archivos y base de datos si es posible. Esa copia sirve para investigar la entrada, comparar cambios y recuperar evidencia técnica. Si no hay copia íntegra anterior a la infección, esta precaución cobra aún más valor.

Por último, documenta síntomas y tiempos: qué URLs redirigen, qué avisos muestra el navegador, qué usuarios existen y qué plugins estaban activos. Esa trazabilidad ayuda a limpiar mejor y a no perder persistencias por intervenciones improvisadas.

Pasos seguros para eliminar malware en WordPress

1. Aislar la instalación comprometida. Evita que siga sirviendo contenido malicioso y trabaja preferiblemente sobre copia o entorno controlado.
2. Comparar el core de WordPress con una fuente limpia. Reinstalar el núcleo desde versión oficial puede ser buena práctica si se confirma alteración, siempre revisando antes wp-config.php y otros ficheros con ajustes propios.
3. Revisar plugins y themes. Elimina o sustituye por copias limpias los que no sean imprescindibles o no procedan de fuentes fiables. Si un tema o plugin está modificado a medida, conviene comparar contra el repositorio original o su control de versiones.
4. Buscar backdoors y PHP sospechoso. Revisa patrones de ofuscación, archivos en rutas anómalas, nombres que imitan ficheros legítimos y puertas trasera fuera de wp-content o dentro de subcarpetas poco habituales.
5. Comprobar .htaccess y otras reglas de servidor. Un htaccess hack puede provocar redirecciones spam o ejecución indebida. Verifica también configuraciones equivalentes si usas Nginx o panel del hosting.
6. Validar usuarios y privilegios. Comprueba si hay un usuario admin falso, cambios de correo en administradores o cuentas con capacidades elevadas creadas sin autorización.
7. Revisar persistencias. Examina cron de WordPress, tareas del sistema si tienes acceso, mu-plugins, uploads con PHP ejecutable y opciones de base de datos que carguen código o redirecciones.
8. Cambiar credenciales después de limpiar. Renueva contraseñas de WordPress, hosting, FTP/SFTP, base de datos y paneles relacionados. Si procede, fuerza cierre de sesiones y revisa claves en wp-config.php.

Si la infección afecta a base de datos, limpiar WordPress puede implicar revisar opciones, contenidos inyectados, usuarios, URLs ocultas o scripts en widgets. Aquí conviene precisión: borrar tablas o registros sin entender su función puede romper la web sin resolver la puerta de entrada.

Qué revisar después de la limpieza

• Que no persistan redirecciones spam ni advertencias del navegador.
• Que los administradores, plugins activos y temas coincidan con el inventario real.
• Que no existan archivos PHP nuevos en uploads u otras rutas inusuales.
• Que Search Console o el hosting no mantengan alertas pendientes.

Si hubo blacklist de Google, la revisión de seguridad y la solicitud de reconsideración deben hacerse cuando la limpieza sea consistente. Como referencia útil, la documentación oficial de WordPress sobre hardening puede orientar el refuerzo posterior.

Cómo evitar otra infección

Para reducir el riesgo de reinfección, conviene endurecer WordPress: actualizaciones controladas, eliminación de plugins sin uso, mínimos privilegios, autenticación reforzada, copias verificadas y monitorización de cambios en archivos. También ayuda revisar permisos, desactivar ejecución de PHP donde no corresponde y mantener inventario de extensiones y accesos.

La prioridad tras recuperar una instalación comprometida no es solo volver a publicar, sino cerrar la puerta de entrada. El error más común tras una infección es limpiar síntomas visibles y dejar intacta la causa: una credencial expuesta, un plugin vulnerable, un tema alterado o una persistencia olvidada.

Fuentes

• Documentación oficial de WordPress sobre hardening y seguridad.