Eliminar wp-temp.php y puertas traseras similares

Si necesitas eliminar wp-temp.php, lo importante no es solo borrar ese archivo, sino comprobar si forma parte de una intrusión más amplia. En muchos WordPress comprometidos, wp-temp.php suele ser un nombre utilizado por archivos maliciosos o puertas traseras; eliminarlo sin revisar el resto del sitio puede dejar activa la reinfección y permitir que el atacante recupere el acceso.

La forma correcta de actuar pasa por trabajar con cautela: hacer copia de seguridad, poner el sitio en mantenimiento si procede, revisar la integridad de los archivos, detectar persistencias en usuarios, tareas programadas, plugins, temas, uploads y archivos críticos como wp-config.php o .htaccess. Solo así puede hablarse de una limpieza con garantías razonables.

A continuación tienes un procedimiento técnico y realista para administradores WordPress que quieren entender qué revisar, qué eliminar y cómo reducir el riesgo de que el problema reaparezca.

Qué es wp-temp.php y por qué suele indicar una intrusión mayor

wp-temp.php no forma parte del núcleo estándar de WordPress. Aunque el nombre pueda parecer inocuo, en incidentes reales suele usarse para ocultar código malicioso, cargadores remotos, shells web o backdoors en WordPress. Su objetivo puede ser muy distinto según el caso: reinyectar malware, crear usuarios administradores, ejecutar código arbitrario, modificar archivos del sitio o redirigir tráfico.

El problema práctico es que este archivo rara vez explica por sí solo toda la infección. Si ha aparecido, conviene asumir que puede existir al menos una de estas situaciones:

• Otro archivo malicioso lo está recreando después de borrarlo.
• Existe una vulnerabilidad sin cerrar en un plugin, tema o credencial comprometida.
• Hay persistencia en mu-plugins, uploads, tareas cron, base de datos o usuarios administradores no autorizados.
• El sitio ha sido modificado en varios puntos críticos del sistema de archivos.

Por eso, la respuesta breve y útil para snippet sería esta: wp-temp.php suele ser un archivo malicioso o una puerta trasera; para eliminarlo de verdad hay que borrarlo y revisar la causa de entrada, los mecanismos de persistencia y la integridad del WordPress completo.

Señales habituales de que no es un incidente aislado

• El archivo reaparece tras eliminarlo.
• Hay usuarios admin que nadie reconoce.
• Se observan redirecciones, spam SEO, cambios en cabeceras o inyecciones de JavaScript.
• Aparecen archivos PHP donde no deberían, por ejemplo dentro de /wp-content/uploads/.
• Se detectan plugins o temas modificados sin registro de cambios legítimo.

Cómo eliminar wp-temp.php sin dejar activa la reinfección

El enfoque correcto combina contención, análisis y limpieza. No conviene empezar borrando archivos a ciegas si todavía no has preservado evidencias mínimas o si no sabes desde dónde se regenera la infección.

1. Haz una copia de seguridad completa antes de tocar nada

Guarda una copia de los archivos y de la base de datos. Si puedes, conserva una versión para análisis y otra para restauración de emergencia. Si el hosting lo permite, anota también fechas de modificación y registros disponibles. Esto no significa restaurar esa copia infectada después, sino disponer de un punto de referencia por si necesitas investigar la intrusión.

2. Pon el sitio en mantenimiento si el impacto lo justifica

Si el sitio está mostrando redirecciones, spam, descargas maliciosas o comportamientos anómalos, puede ser razonable limitar temporalmente el acceso público. La decisión depende del tipo de web, del impacto comercial y del nivel de acceso que tengas. En algunos casos, sobre todo en tiendas o webs críticas, conviene coordinar la intervención con el hosting o con soporte técnico para no agravar el incidente.

3. Localiza el archivo y documenta su ruta exacta

No asumas que solo existe una copia. Busca wp-temp.php y patrones similares en todo el alojamiento. En entornos con SSH, una búsqueda típica podría hacerse sobre nombres o archivos PHP modificados recientemente; en hosting compartido, puede tocar usar el gestor de archivos o SFTP. Anota las rutas encontradas, por ejemplo si aparece en raíz, dentro de wp-includes, uploads o carpetas de plugins.

4. Descarga y revisa el contenido con prudencia

Antes de eliminarlo, descarga una copia para analizarla fuera del servidor. Suelen aparecer patrones como código ofuscado, base64_decode, gzinflate, eval, llamadas remotas, creación de usuarios o escritura en otros archivos. Es importante no concluir automáticamente que una función aislada es maliciosa, porque algunas también pueden existir en software legítimo; lo que importa es el contexto, la ubicación y el comportamiento.

5. Elimínalo, pero no cierres el incidente todavía

Si has confirmado que es un archivo malicioso o claramente ajeno al sitio, elimínalo. Aun así, no des por resuelto el problema. Si la vulnerabilidad de entrada, la credencial comprometida o la persistencia siguen presentes, el archivo puede reaparecer en minutos u horas.

6. Sustituye el núcleo de WordPress por una copia limpia

Una práctica muy útil es descargar una versión limpia del núcleo de WordPress que coincida con la versión objetivo o actualizar directamente a la versión estable más reciente si el sitio lo permite. Después, reemplaza los archivos del core por archivos limpios, preservando con cuidado wp-config.php y el directorio wp-content, que requieren revisión separada. Esto ayuda a restaurar la integridad de partes esenciales del sistema que a veces también se alteran.

7. Cambia contraseñas y corta accesos existentes

Cambia las contraseñas de administradores WordPress, FTP/SFTP, SSH, panel de hosting, base de datos y cuentas de correo asociadas si existe riesgo razonable de compromiso. También es recomendable regenerar las claves de seguridad de WordPress en wp-config.php para invalidar sesiones activas.

Qué archivos, usuarios y tareas programadas conviene revisar después

Aquí es donde suele decidirse si la limpieza aguanta o si el WordPress vuelve a infectarse. La revisión debe ser sistemática y centrarse en los puntos donde el malware suele esconder persistencia.

Checklist técnica de revisión

Revisión de archivos críticos

Comprueba especialmente wp-config.php, .htaccess, index.php de la raíz, y cualquier archivo PHP reciente fuera de las ubicaciones habituales. Si tienes una copia limpia anterior o un despliegue versionado, compárala con el estado actual. La comparación de integridad suele ser mucho más fiable que revisar línea por línea a simple vista.

Revisión de plugins, temas y mu-plugins

Desinstala o sustituye por copias limpias los plugins y temas que no sean imprescindibles, estén abandonados, nulled o presenten cambios no explicados. Revisa con especial atención el directorio /wp-content/mu-plugins/, porque su carga es automática y muchos administradores no lo revisan con frecuencia.

Revisión de uploads

La carpeta uploads debería contener sobre todo medios, no lógica ejecutable. Si hay archivos PHP, nombres ofuscados, subcarpetas atípicas o scripts recién creados, merecen análisis inmediato. En algunos entornos también conviene valorar restricciones de ejecución en esa ruta, siempre que no rompan funcionalidades legítimas del sitio.

Revisión de usuarios y privilegios

Entra en el panel de usuarios y comprueba administradores, editores con privilegios anómalos, cambios de correo y cuentas inactivas. Si detectas un usuario no reconocido, no basta con borrarlo: revisa también si ha dejado cambios en plugins, temas, entradas, opciones o tareas programadas.

Revisión de tareas programadas

Examina tanto el WP-Cron como las tareas del sistema si tienes acceso al servidor. El malware puede programar acciones para volver a descargar archivos, regenerar cuentas o reescribir contenido. Si la intrusión es compleja, esta revisión es tan importante como la de los archivos.

Cómo limpiar un WordPress infectado con garantías razonables

No existe una promesa seria de limpieza total sin contexto. El método más fiable depende de si dispones de una copia limpia, del nivel de acceso al hosting, de la fecha de compromiso y del alcance de la infección. Aun así, hay una secuencia de trabajo razonable que suele funcionar mejor que la eliminación puntual de archivos.

1. Aísla y documenta: copia de seguridad, mantenimiento si procede y registro de rutas afectadas.
2. Cambia credenciales y sesiones: usuarios WordPress, hosting, SFTP/SSH, base de datos y correo.
3. Restaura o reemplaza archivos de confianza: núcleo limpio, plugins y temas descargados de fuentes legítimas.
4. Revisa persistencias: mu-plugins, uploads, cron, usuarios, opciones de base de datos y archivos críticos.
5. Actualiza: WordPress, plugins, temas y versión de PHP compatible y soportada.
6. Escanea y valida: combina revisión manual con herramientas de análisis, sin asumir que una sola detectará todo.
7. Monitoriza: observa logs, cambios de archivos, alertas de integridad y comportamiento del sitio durante los días siguientes.

¿Restaurar una copia o limpiar sobre el sitio actual?

Si tienes una copia anterior verificablemente limpia y reciente, restaurarla puede ahorrar tiempo. Pero no es suficiente por sí sola si la vía de acceso sigue abierta. Además, restaurar una copia muy antigua puede implicar pérdida de contenido o volver a una versión vulnerable. Si no hay copia fiable, suele tocar reconstruir el sitio con archivos limpios y revisar datos persistentes manualmente.

Base de datos: qué mirar con cautela

Aunque wp-temp.php sea un archivo, la reinfección puede apoyarse en la base de datos. Revisa opciones extrañas, URLs inyectadas, código en widgets, contenidos con scripts, usuarios anómalos y configuraciones cargadas automáticamente. Aquí conviene ser prudente: modificar la base de datos sin criterio puede romper el sitio o dejar la infección a medias.

Si necesitas referencia oficial sobre endurecimiento y administración segura, WordPress mantiene documentación pública en Hardening WordPress.

Qué hacer para reforzar la seguridad y evitar que reaparezca

Después de limpiar, el objetivo no es solo volver a estar online, sino reducir la superficie de ataque y detectar pronto cualquier recaída. El endurecimiento debe adaptarse al hosting y a la operativa del sitio, pero hay varias medidas de base muy recomendables.

• Mantén WordPress, plugins y temas actualizados de forma constante.
• Elimina extensiones y temas que no uses, especialmente si están abandonados.
• Usa contraseñas robustas y activa doble factor cuando sea viable.
• Reduce el número de administradores al mínimo necesario.
• Revisa permisos de archivos y directorios según las recomendaciones de tu entorno.
• Bloquea o limita la ejecución de PHP en rutas donde no sea necesaria, como ciertos contextos de uploads, si tu aplicación lo permite.
• Activa monitorización de integridad de archivos y alertas de cambios.
• Revisa logs del servidor, del WAF o del propio hosting cuando estén disponibles.
• Programa copias de seguridad verificadas y restaurables.

La actualización no sustituye a la revisión

Actualizar es esencial, pero no elimina por sí mismo una puerta trasera ya instalada. Del mismo modo, instalar un escáner o un plugin de seguridad ayuda, pero no garantiza detectar todas las variantes de malware WordPress. La combinación de higiene técnica, control de cambios y revisión periódica suele ser más efectiva que depender de una única capa.

Monitorización tras la limpieza

Durante varios días conviene vigilar archivos nuevos, tareas programadas, usuarios, consumo de recursos, correos salientes y modificaciones en la raíz del sitio o en wp-content. Muchas reinfecciones se detectan precisamente en esta fase, cuando vuelve a aparecer un archivo aparentemente aislado que en realidad delata una persistencia no resuelta.

Cuándo conviene pedir soporte especializado

Hay escenarios en los que intentar limpiar el sitio sin experiencia suficiente puede alargar el incidente o dejar rastros activos. Pedir ayuda técnica suele ser razonable si se da alguna de estas circunstancias:

• El archivo wp-temp.php reaparece después de borrarlo.
• No tienes claro cuál fue la vía de entrada.
• No dispones de acceso completo al hosting o a los logs.
• El sitio maneja datos sensibles, pedidos, suscripciones o cuentas de clientes.
• Hay múltiples archivos maliciosos, spam SEO o redirecciones complejas.
• La base de datos también parece alterada.
• Necesitas reducir tiempo de caída y validar que la limpieza ha sido consistente.

En esos casos, una auditoría técnica, una limpieza profesional o un servicio de soporte WordPress puede ayudarte a identificar la persistencia real, restaurar la integridad del sitio y dejar medidas de mantenimiento WordPress para minimizar recaídas.

Fuentes oficiales

• WordPress.org Documentation: Hardening WordPress

Resumen práctico y siguiente paso razonable

Para eliminar wp-temp.php con criterio, no basta con borrar el archivo: hay que comprobar la integridad del núcleo, revisar wp-config.php, .htaccess, mu-plugins, uploads, usuarios administradores, plugins, temas, cron y posibles persistencias en base de datos. Si uno de esos puntos queda sin revisar, la reinfección puede seguir activa aunque el síntoma visible desaparezca.

Si tienes dudas sobre el alcance del incidente o el archivo reaparece, el siguiente paso más prudente es realizar una auditoría técnica completa o contar con ayuda especializada para limpiar el sitio, verificar la persistencia y dejar un plan de seguridad y mantenimiento estable en el tiempo.