Eliminar scripts de anuncios falsos en WordPress

¿Qué son los scripts de anuncios falsos en WordPress?

Los scripts de anuncios falsos en WordPress son fragmentos de código JavaScript o iframes inyectados de forma maliciosa en tu sitio web con el objetivo de mostrar publicidad no autorizada, redirigir a los usuarios a páginas de spam o descargar malware. Suelen aprovechar vulnerabilidades en plugins, temas desactualizados o contraseñas débiles para introducirse en el código de tu instalación.

Estos scripts pueden estar ofuscados (codificados de forma ilegible) para evitar ser detectados y, en muchos casos, solo se muestran a determinados usuarios (por ejemplo, visitantes móviles o usuarios que llegan desde Google) para pasar desapercibidos ante el administrador del sitio.

• Se insertan en archivos del tema, plugins o el propio core de WordPress.
• Pueden cargarse desde dominios externos comprometidos o servidores de anuncios falsos.
• Generan ingresos para el atacante a costa de la reputación y seguridad de tu web.
• Perjudican el SEO, la experiencia de usuario y la confianza de tus visitantes.

Síntomas comunes en sitios infectados

Antes de eliminar scripts de anuncios falsos en WordPress, es importante reconocer las señales que indican que tu sitio puede estar comprometido. No siempre son evidentes, ya que muchos ataques están diseñados para permanecer ocultos el mayor tiempo posible.

• Aparición de banners o pop-ups que no has configurado.
• Redirecciones automáticas a sitios de apuestas, casinos, descargas o contenido adulto.
• Alertas de navegadores (Chrome, Firefox) indicando que tu sitio puede ser peligroso.
• Mensajes de Google Search Console sobre contenido hackeado o software malicioso.
• Incremento repentino de peticiones HTTP sospechosas o consumo anormal de recursos.
• Código extraño en el pie de página, cabecera o justo antes de la etiqueta </body>.
• Archivos modificados recientemente sin que hayas realizado cambios.

En algunos casos, los anuncios falsos solo se muestran a usuarios no logueados o a visitantes desde móvil. Por ello, es recomendable probar tu web desde distintos dispositivos y navegadores, usando ventanas de incógnito y conexiones externas a tu red habitual.

Primeros pasos antes de eliminar el malware

Antes de comenzar a eliminar scripts de anuncios falsos en WordPress, conviene preparar el entorno para minimizar riesgos y facilitar la limpieza. Estos pasos iniciales te ayudarán a evitar pérdida de datos y a documentar el alcance de la infección.

• Realiza una copia de seguridad completa (archivos + base de datos) aunque esté infectada. Te servirá como referencia y punto de restauración.
• Actualiza contraseñas críticas: panel de hosting, FTP/SFTP, base de datos, usuarios administradores de WordPress.
• Revisa los usuarios administradores y elimina cuentas sospechosas o que no reconozcas.
• Activa el modo mantenimiento o restringe temporalmente el acceso público mientras realizas la limpieza.
• Prepara un entorno de pruebas (staging) si tu hosting lo permite, para limpiar sin afectar al sitio en producción.

Cómo detectar scripts de anuncios falsos

Detectar el origen exacto de los anuncios falsos es esencial para una limpieza efectiva. Los atacantes suelen esconder el código malicioso en varios puntos de la instalación, por lo que es necesario combinar herramientas automáticas con revisiones manuales.

Revisión desde el navegador

• Abre tu sitio en modo incógnito y sin iniciar sesión en WordPress.
• Usa las herramientas de desarrollador (F12) y revisa la pestaña Network y Sources.
• Busca peticiones a dominios desconocidos relacionados con anuncios, pop-ups o redirecciones.
• Inspecciona el código HTML generado, sobre todo en la cabecera y el pie de página.

Escaneo con plugins de seguridad

Existen plugins de seguridad que analizan tu instalación en busca de malware, archivos modificados y patrones de código sospechoso. No son infalibles, pero ayudan a localizar rápidamente muchos scripts maliciosos.

• Instala un plugin de seguridad reputado (por ejemplo, Wordfence, iThemes Security, Sucuri Security).
• Ejecuta un escaneo completo de archivos y base de datos.
• Revisa el informe y anota rutas de archivos, tablas y cadenas sospechosas.

Búsqueda manual en archivos

Complementa el escaneo automático con una búsqueda manual desde el gestor de archivos del hosting o mediante SFTP. Muchos scripts de anuncios falsos comparten patrones comunes que puedes localizar con funciones de búsqueda.

• Busca cadenas como <script>, eval(, base64_decode, document.write, iframe en archivos PHP y JS.
• Revisa especialmente header.php, footer.php, functions.php del tema activo.
• Compara archivos del core de WordPress con una instalación limpia de la misma versión.
• Presta atención a código ofuscado, con variables sin sentido o bloques muy largos en una sola línea.

Eliminar scripts maliciosos en archivos y temas

Una vez identificados los scripts de anuncios falsos, el siguiente paso es eliminarlos de forma segura. Es fundamental actuar con precisión para no dañar el funcionamiento legítimo de tu sitio y evitar que el malware se reactive.

Restaurar archivos del core de WordPress

• Descarga la misma versión de WordPress desde el sitio oficial.
• Sobrescribe las carpetas wp-admin y wp-includes por completo.
• Reemplaza los archivos sueltos de la raíz (como wp-settings.php, wp-login.php) excepto wp-config.php.
• Comprueba los permisos de archivos y carpetas (generalmente 644 para archivos y 755 para directorios).

Limpiar el tema activo y los plugins

Los scripts de anuncios falsos suelen inyectarse en el tema activo y en plugins vulnerables. Siempre que sea posible, es preferible reinstalar desde fuentes oficiales en lugar de editar a mano código comprometido.

• Descarga una copia limpia del tema activo desde el repositorio oficial o el proveedor.
• Compara archivos críticos (header.php, footer.php, functions.php) con la versión infectada.
• Elimina cualquier fragmento de código que no exista en la versión original o reinstala el tema por completo.
• Reinstala plugins desde el repositorio oficial y elimina aquellos que no utilices o no sean de confianza.

Eliminar código ofuscado y scripts externos

Muchos anuncios falsos se cargan desde dominios externos mediante código ofuscado. Es importante localizar y eliminar cualquier referencia a estos recursos.

• Busca llamadas a dominios desconocidos en archivos PHP y JS.
• Elimina bloques de código que utilicen funciones como eval(), gzinflate(), strrev() combinadas con cadenas largas codificadas.
• Revisa widgets personalizados, bloques de HTML en el personalizador y código insertado en plugins de cabecera/pie.

Limpiar base de datos y tablas infectadas

Los scripts de anuncios falsos no solo se alojan en archivos; también pueden inyectarse en la base de datos, especialmente en tablas que almacenan contenido y opciones. Ignorar esta parte de la limpieza suele provocar que el malware reaparezca tras unos días.

Tablas más afectadas habitualmente

• wp_posts: código malicioso incrustado en entradas, páginas o campos personalizados.
• wp_options: scripts en opciones de tema, campos de tracking o configuraciones de plugins.
• wp_postmeta: metadatos con código HTML/JS oculto.
• wp_usermeta: valores sospechosos asociados a usuarios con permisos elevados.

Búsqueda de código malicioso en la base de datos

Utiliza phpMyAdmin o la herramienta de gestión de bases de datos de tu hosting para buscar patrones sospechosos. Trabaja siempre sobre una copia de seguridad y, si es posible, en un entorno de pruebas.

• Realiza búsquedas con expresiones como <script>, iframe, base64_decode, dominios externos detectados, etc.
• Revisa los resultados uno a uno y elimina solo el código malicioso, manteniendo el contenido legítimo.
• Presta especial atención a opciones autoloaded en wp_options, ya que se cargan en cada petición.

Optimización y mantenimiento de la base de datos

Tras la limpieza, conviene optimizar la base de datos para mejorar el rendimiento y reducir el riesgo de que queden restos de entradas o metadatos huérfanos.

• Utiliza un plugin fiable para optimizar tablas y eliminar revisiones antiguas.
• Elimina plugins que hayan dejado tablas sin uso y que ya no necesites.
• Programa limpiezas periódicas para mantener la base de datos ligera y ordenada.

Reforzar la seguridad de WordPress tras la limpieza

Eliminar los scripts de anuncios falsos es solo la primera parte del trabajo. Para evitar que el ataque se repita, es imprescindible reforzar la seguridad de tu instalación y cerrar las posibles puertas de entrada que han permitido la infección inicial.

Actualizaciones y endurecimiento básico

• Mantén siempre actualizado el core de WordPress, los temas y los plugins.
• Elimina temas y plugins que no utilices, en lugar de dejarlos desactivados.
• Configura contraseñas robustas y únicas para todos los usuarios con acceso al panel.
• Limita el número de cuentas con rol de administrador a las estrictamente necesarias.

Medidas adicionales de seguridad

• Activa la autenticación en dos pasos (2FA) para usuarios administradores.
• Restringe el acceso al panel de administración por IP o mediante protección con contraseña a nivel de servidor.
• Configura un firewall de aplicación web (WAF) a través de un plugin o servicio externo.
• Deshabilita la edición de archivos desde el panel de WordPress mediante DISALLOW_FILE_EDIT.

Prevenir nuevas infecciones y buenas prácticas

Una vez limpio tu sitio, el objetivo debe ser prevenir futuras infecciones. La mayoría de ataques automatizados se aprovechan de configuraciones débiles y software desactualizado, por lo que adoptar buenas prácticas reduce enormemente el riesgo.

• Instala solo plugins y temas de fuentes oficiales (repositorio de WordPress, desarrolladores reconocidos).
• Evita nulled themes o plugins pirata, que suelen incluir puertas traseras y scripts maliciosos.
• Configura copias de seguridad automáticas diarias o semanales, almacenadas fuera del servidor principal.
• Monitoriza cambios en archivos mediante plugins o herramientas de seguridad.
• Revisa periódicamente los registros de acceso y errores del servidor.
• Forma a tu equipo en buenas prácticas de contraseñas, acceso y gestión de contenidos.

Herramientas recomendadas para analizar y proteger

Contar con las herramientas adecuadas facilita enormemente la detección y eliminación de scripts de anuncios falsos en WordPress. A continuación se presentan opciones útiles tanto para el análisis inicial como para la protección continua de tu sitio.

Plugins de seguridad para WordPress

• Wordfence Security: firewall, escaneo de malware, bloqueo de IPs y monitorización de cambios en archivos.
• Sucuri Security: auditoría de seguridad, escaneo remoto y endurecimiento de configuración.
• iThemes Security: medidas de endurecimiento, detección de cambios y protección frente a ataques de fuerza bruta.

Herramientas externas de análisis

• Google Search Console: avisos de contenido hackeado, problemas de seguridad y rendimiento SEO.
• VirusTotal: análisis de URLs y archivos sospechosos para detectar malware conocido.
• Escáneres online de malware web que revisan el código público de tu sitio en busca de patrones maliciosos.

Gestión de copias de seguridad y monitorización

• Plugins de backup automático con almacenamiento externo (S3, Google Drive, etc.).
• Servicios de monitorización de uptime que te avisan si tu sitio deja de estar disponible.
• Herramientas de registro y análisis de logs para detectar patrones de acceso anómalos.

Preguntas frecuentes