Recuperar web WordPress hackeada y blindarla

Evaluar daños y actuar rápido

Cuando una web WordPress ha sido hackeada, el tiempo de reacción es clave. Cuanto antes detectes y contengas el problema, menos impacto tendrá en tu reputación, posicionamiento SEO y datos de usuarios. El primer paso no es limpiar a ciegas, sino evaluar con calma qué ha ocurrido y hasta dónde llega el daño.

Antes de tocar nada, documenta la situación actual. Haz capturas de pantalla de mensajes de error, redirecciones extrañas, avisos del navegador o de Google, y cualquier comportamiento anómalo. Esta información será útil si necesitas ayuda profesional o si debes justificar el incidente ante clientes o autoridades.

• Comprueba si puedes acceder al panel de WordPress (wp-admin).
• Revisa si hay redirecciones a sitios externos o páginas de spam.
• Verifica si Google muestra avisos de sitio peligroso o infectado.
• Pregunta a tu proveedor de hosting si han detectado actividad sospechosa.
• Identifica si el problema afecta a todo el dominio o solo a algunas URLs.

Poner la web en modo seguro

Antes de empezar a limpiar, es fundamental contener el ataque para evitar que el malware siga propagándose o que los atacantes mantengan el acceso. El objetivo es aislar la web, proteger a los usuarios y trabajar sobre un entorno lo más controlado posible.

• Desactiva temporalmente la web pública mostrando una página de mantenimiento desde el servidor o el panel de hosting, no desde un plugin de WordPress (que podría estar comprometido).
• Cambia todas las contraseñas críticas: acceso al panel de hosting, FTP/SFTP, base de datos, usuarios administradores de WordPress y correos asociados.
• Fuerza el cierre de sesiones activas en WordPress para expulsar a posibles intrusos conectados.
• Activa el modo solo lectura en la medida de lo posible, limitando permisos de escritura en archivos sensibles mientras analizas el sistema.

Identificar el tipo de hackeo

No todos los hackeos en WordPress son iguales. Entender qué tipo de ataque has sufrido te ayudará a priorizar acciones y a evitar que se repita. Algunos ataques son visibles (redirecciones, spam), mientras que otros son silenciosos (puertas traseras, robo de datos).

Analiza los síntomas y utiliza herramientas de escaneo para detectar patrones de infección. Combina escáneres automáticos con una revisión manual de archivos clave y registros del servidor.

• Inyección de código malicioso: archivos PHP modificados, scripts extraños en cabeceras o pies de página, iframes ocultos.
• Redirecciones no deseadas: usuarios que son enviados a sitios de apuestas, contenido adulto o páginas de phishing.
• Spam SEO: creación masiva de páginas con contenido basura, enlaces ocultos o palabras clave en otros idiomas.
• Robo de credenciales: formularios manipulados, scripts que capturan datos de acceso o tarjetas de crédito.
• Puertas traseras (backdoors): archivos que permiten al atacante volver a entrar incluso después de limpiar el sitio.

Limpiar archivos y base de datos

La fase de limpieza es delicada: debes eliminar el malware sin romper la funcionalidad de la web. Es recomendable trabajar con copias de seguridad y, si es posible, en un entorno de pruebas antes de aplicar cambios en producción.

Empieza por los archivos del núcleo de WordPress, sigue con temas y plugins, y termina revisando la base de datos. Cualquier rastro de código malicioso que dejes atrás puede servir como punto de reentrada para el atacante.

• Reemplaza el core de WordPress subiendo una copia oficial de la misma versión y sobrescribiendo todos los archivos excepto wp-config.php y la carpeta wp-content.
• Revisa la carpeta wp-content: elimina temas y plugins que no uses, y compara los activos con sus versiones originales descargadas del repositorio oficial o del proveedor.
• Busca patrones de malware en archivos PHP y JS: funciones como base64_decode, eval, gzinflate, cadenas ofuscadas o código añadido al principio o final de los archivos.
• Limpia la base de datos: revisa tablas de opciones, posts y usuarios en busca de entradas sospechosas, iframes ocultos, scripts o cuentas de administrador desconocidas.
• Elimina puertas traseras: presta especial atención a archivos en directorios de carga (uploads) y a archivos con nombres extraños o recientes.

Restaurar desde copias de seguridad

Si dispones de copias de seguridad fiables y recientes, restaurar puede ser la forma más rápida y segura de recuperar tu web WordPress hackeada. Sin embargo, es crucial asegurarte de que la copia no esté ya infectada, o volverás a introducir el problema.

Antes de restaurar, identifica la fecha aproximada del ataque. Escoge una copia anterior a ese momento y comprueba, en la medida de lo posible, que no contenga código malicioso. Siempre que puedas, restaura primero en un entorno de pruebas.

• Verifica qué incluye la copia: solo archivos, solo base de datos o ambos.
• Restaura en un subdominio o entorno de staging para analizarla con calma.
• Pasa un escáner de seguridad a la copia restaurada antes de hacerla pública.
• Actualiza WordPress, temas y plugins tras la restauración, aplicando parches de seguridad.
• Elimina usuarios, plugins y temas innecesarios para reducir la superficie de ataque.

Reforzar la seguridad de WordPress

Una vez recuperada la web, el siguiente paso es reforzar la seguridad interna de WordPress para reducir al mínimo las posibilidades de un nuevo ataque. Esto implica endurecer el acceso, limitar privilegios y configurar correctamente los plugins de seguridad.

Piensa en esta fase como en instalar cerraduras adicionales, alarmas y protocolos de acceso en tu oficina digital. No se trata solo de instalar un plugin, sino de aplicar una estrategia de seguridad por capas.

• Actualiza siempre a la última versión estable de WordPress, temas y plugins, y elimina los que no utilices.
• Configura un plugin de seguridad (Wordfence, iThemes Security, Sucuri, etc.) con reglas de firewall, escaneos programados y alertas por correo.
• Activa la autenticación en dos pasos (2FA) para todos los usuarios con rol de administrador o editor.
• Limita los intentos de acceso al panel de login para bloquear ataques de fuerza bruta.
• Revisa y ajusta los roles de usuario, otorgando solo los permisos estrictamente necesarios.

Blindar el servidor y el panel de control

La seguridad de tu web WordPress no depende solo del propio CMS. El servidor, el panel de control del hosting y los servicios asociados (FTP, correo, DNS) son piezas críticas que también deben estar blindadas. Un servidor mal configurado puede arruinar cualquier esfuerzo de seguridad a nivel de aplicación.

Trabaja de la mano de tu proveedor de hosting o de tu administrador de sistemas para aplicar políticas de seguridad robustas. Si tu proyecto es crítico, valora migrar a un hosting especializado en WordPress con medidas de seguridad avanzadas.

• Usa siempre HTTPS con un certificado SSL correctamente configurado y fuerza la redirección de HTTP a HTTPS.
• Restringe el acceso al panel de control (cPanel, Plesk, panel propio) mediante IPs autorizadas, 2FA y contraseñas robustas.
• Sustituye FTP por SFTP o FTPS para cifrar las conexiones y proteger credenciales.
• Configura reglas de firewall a nivel de servidor para bloquear puertos innecesarios y limitar el tráfico sospechoso.
• Mantén el software del servidor actualizado (PHP, Apache/Nginx, módulos, librerías) con los últimos parches de seguridad.

Monitorización y mantenimiento constante

Recuperar una web WordPress hackeada es solo la mitad del trabajo. La otra mitad consiste en mantenerla segura a largo plazo mediante una monitorización continua y un plan de mantenimiento preventivo. La seguridad no es un estado, es un proceso.

Define rutinas periódicas para revisar el estado del sitio, aplicar actualizaciones, comprobar copias de seguridad y analizar logs. Cuanto antes detectes una anomalía, menor será el impacto.

• Programa escaneos automáticos de malware y cambios en archivos sensibles.
• Revisa los registros de acceso y errores del servidor en busca de patrones extraños.
• Comprueba regularmente que las copias de seguridad se realizan y se pueden restaurar.
• Audita usuarios y permisos al menos una vez al trimestre.
• Realiza pruebas de rendimiento y seguridad tras grandes cambios en la web.

Checklist rápido de respuesta a incidentes

Disponer de un checklist claro te ayuda a reaccionar con orden cuando tu web WordPress es hackeada. En momentos de estrés es fácil olvidar pasos importantes o tomar decisiones precipitadas. Tener un protocolo por escrito reduce errores y tiempos de recuperación.

• Poner la web en modo mantenimiento o cuarentena.
• Cambiar contraseñas de hosting, FTP/SFTP, base de datos y WordPress.
• Contactar con el soporte del hosting para obtener logs y ayuda técnica.
• Realizar una copia de seguridad del estado actual (para análisis forense).
• Escanear archivos y base de datos en busca de malware.
• Limpiar o restaurar desde una copia de seguridad limpia.
• Actualizar WordPress, temas y plugins a sus últimas versiones.
• Configurar y reforzar medidas de seguridad adicionales.
• Verificar que el sitio funciona correctamente y sin código malicioso.
• Solicitar revisión a Google Search Console si hubo avisos de sitio hackeado.
• Documentar el incidente y ajustar el plan de seguridad futuro.

Errores comunes que facilitan un hackeo

Muchos hackeos en WordPress se producen por descuidos básicos que podrían haberse evitado con buenas prácticas mínimas. Conocer los errores más frecuentes te permitirá corregirlos antes de que alguien los aproveche en tu contra.

Revisa esta lista y comprueba cuántos de estos puntos se dan en tu proyecto. Cada error corregido reduce significativamente el riesgo de sufrir un nuevo incidente de seguridad.

• Usar contraseñas débiles o repetidas en varios servicios.
• No actualizar WordPress, temas y plugins durante meses.
• Instalar temas y plugins de fuentes no oficiales o nulled.
• Conceder acceso de administrador a demasiados usuarios.
• No disponer de copias de seguridad automatizadas y externas.
• Utilizar hosting compartido de baja calidad y sin medidas de seguridad.
• Dejar activos plugins o temas que ya no se utilizan.
• No cifrar las conexiones (sin HTTPS) ni usar SFTP.
• Ignorar avisos de seguridad de plugins, hosting o Google Search Console.

Preguntas frecuentes

A continuación encontrarás respuestas claras a las dudas más habituales sobre cómo recuperar una web WordPress hackeada y qué hacer para blindarla de cara al futuro.