WordPress con malware en hosting cómo desinfectar

Si detectas un WordPress con malware en tu hosting, lo importante no es borrar archivos a ciegas, sino seguir un orden: aislar el sitio si está mostrando contenido malicioso, guardar evidencias, revisar qué ha sido comprometido y limpiar tanto WordPress como el entorno del hosting. Malware es cualquier código o modificación no autorizada que altera el funcionamiento del sitio, roba acceso, redirige tráfico o deja una puerta trasera para volver a entrar.

El error más habitual es limpiar solo lo visible: una redirección, un archivo extraño o un plugin manipulado. Si no revisas usuarios, tareas programadas, accesos FTP, bases de datos, subdominios o copias antiguas infectadas, la reinfección puede aparecer en horas o días.

Cómo saber si tienes un WordPress con malware en el hosting

Las señales más habituales de un sitio comprometido son redirecciones no deseadas, páginas nuevas que no has creado, avisos del navegador, cambios en usuarios administradores, correos salientes extraños, consumo anómalo de recursos o archivos modificados sin explicación. También puede aparecer código ofuscado en functions.php, wp-config.php, .htaccess o dentro de uploads, una carpeta que no debería contener scripts ejecutables salvo casos concretos muy controlados.

Conviene combinar varias comprobaciones: escaneo inicial con una herramienta de seguridad, revisión de integridad del core de WordPress, inspección manual de archivos recientes y consulta de logs si el hosting los ofrece. Un escáner ayuda a localizar indicadores, pero no sustituye una revisión técnica completa.

Qué hacer antes de desinfectar WordPress

Orden correcto de actuación: primero limita el daño, después conserva una copia para análisis y solo entonces limpia. Si el sitio está activo y compromete a visitantes, puede ser necesario ponerlo en mantenimiento o restringir el acceso, según el hosting y el nivel de acceso que tengas.

Antes de tocar nada, guarda una copia completa de archivos y base de datos. Esa copia no debe restaurarse sin más: conviene verificar si es anterior a la infección y revisarla antes de usarla como base limpia. Después, cambia contraseñas de WordPress, panel de hosting, FTP/SFTP, base de datos y correo asociado, especialmente si sospechas de credenciales comprometidas.

Si tienes acceso a registros, revisa accesos recientes, IPs, archivos subidos y errores PHP. El soporte del hosting puede ayudar a confirmar actividad sospechosa, aunque el alcance depende del servicio contratado. Si necesitas restaurar WordPress desde un backup sin perder datos, verifica antes que la copia sea anterior a la infección.

Cómo limpiar archivos y base de datos sin dejar puertas abiertas

La forma más fiable de desinfectar WordPress es comparar lo existente con archivos limpios y eliminar solo lo validado como ajeno o alterado. Reinstala el core desde una fuente oficial, sustituye temas y plugins por copias limpias y actualizadas, y evita conservar versiones anuladas, abandonadas o descargadas fuera de canales de confianza.

Revisa especialmente wp-config.php, .htaccess, la carpeta uploads y cualquier archivo PHP fuera de rutas normales. En la base de datos, conviene inspeccionar opciones del sitio, usuarios, metadatos, contenidos con scripts inyectados y tareas programadas de WordPress si existen indicios de persistencia. Borra usuarios sospechosos, revisa roles elevados y cambia todas las credenciales asociadas.

No confíes solo en “quitar el archivo infectado”. Si había una puerta trasera, puede estar en otro plugin, en un mu-plugin, en una tarea cron del sistema o en una cuenta de hosting reutilizada para volver a entrar.

Qué revisar en el hosting para evitar una reinfección

Cuando hay malware en hosting, el problema puede ir más allá de WordPress. Revisa cuentas FTP y SFTP, buzones de correo vinculados al dominio, subdominios, otras webs dentro de la misma cuenta y bases de datos no usadas. Si una instalación antigua sigue accesible, puede ser el punto de entrada real.

Conviene comprobar permisos de archivos y directorios, cron del sistema si el panel lo permite y logs de acceso o antivirus del proveedor. En paneles habituales en España, como cPanel o Plesk cuando están disponibles, suele ser posible revisar tareas programadas, dominios adicionales y cuentas técnicas. También merece la pena buscar copias de scripts, shells web y archivos comprimidos dejados en directorios temporales. Si además notas que WordPress no carga por límite de inodos del hosting, conviene revisar archivos sobrantes y copias olvidadas.

• Instalaciones WordPress antiguas u olvidadas.
• Subidas ejecutables en rutas no esperadas.
• Cuentas de correo o FTP creadas sin autorización.
• Subdominios de pruebas expuestos y sin actualizar.

Cómo reforzar la seguridad después de eliminar el malware

Después de eliminar virus WordPress, toca endurecer la seguridad para reducir el riesgo de reinfección. Actualiza WordPress, temas y plugins, elimina lo que no uses, activa autenticación robusta y limita el número de cuentas con permisos de administrador. Si el proveedor lo permite, habilita autenticación en dos pasos para paneles críticos.

Mantén copias de seguridad verificadas, monitoriza cambios de archivos y revisa periódicamente usuarios, cron y registros. Un plugin de seguridad puede servir como apoyo para alertas y escaneos, pero no sustituye la integridad de archivos ni una revisión del hosting completo. Como referencia oficial, la documentación de seguridad de WordPress es una base útil para validar buenas prácticas.

Cuándo conviene pedir ayuda profesional

Conviene pedir ayuda si no puedes identificar el origen de la infección, si el sitio se reinfecta, si hay varias webs afectadas en la misma cuenta o si no tienes acceso suficiente al hosting para revisar logs, cron o usuarios técnicos. También si manejas datos sensibles, tiendas online o servicios donde una limpieza incompleta puede tener impacto operativo.

En resumen, reparar un sitio comprometido exige revisar archivos, base de datos, usuarios y todo el entorno del hosting. El error más frecuente es limpiar solo WordPress y no el resto de cuentas y accesos relacionados. Si necesitas una revisión técnica completa para reparar WordPress hackeado y reducir el riesgo de reinfección, el siguiente paso razonable es contar con un diagnóstico profesional antes de restaurar la actividad normal.