WordPress hackeado cómo saberlo y actuar hoy

Si sospechas que tienes un wordpress hackeado, lo más importante es confirmar indicios reales, contener el acceso no autorizado y evitar cambios impulsivos que compliquen la limpieza. No siempre hay una señal única, pero sí patrones frecuentes: redirecciones extrañas, usuarios desconocidos, archivos alterados, avisos del navegador o picos anómalos de consumo y correo saliente.

La prioridad hoy no es “tocar todo”, sino revisar con orden qué ha cambiado, preservar evidencias mínimas y decidir si conviene limpiar, restaurar una copia limpia o escalar el caso. Según el tipo de malware, el acceso disponible y el estado de las copias de seguridad, el procedimiento puede variar.

Cómo saber si tienes un WordPress hackeado

Un WordPress comprometido suele delatarse por cambios no autorizados en el contenido, en los usuarios, en los archivos o en el comportamiento del servidor. El primer paso recomendable es contener el incidente: cambia credenciales críticas si aún tienes acceso, limita accesos al panel y revisa si el problema afecta solo a la web visible o también al hosting, FTP, base de datos y correo.

Conviene comprobar Search Console, alertas del hosting, registros de actividad y el estado de los plugins y temas. Un escaneo puede ayudar a detectar indicios, pero no sustituye una revisión técnica completa de archivos, base de datos y usuarios.

Señales más comunes de una web WordPress comprometida

• Redirecciones a páginas de spam, apuestas, phishing o descargas no deseadas.
• Usuarios administradores que no reconoces o cambios de permisos sin explicación.
• Archivos modificados recientemente en rutas sensibles, especialmente si no has hecho cambios.
• Inyección de enlaces o texto oculto en entradas, plantillas o base de datos.
• Alertas del navegador, del hosting o de herramientas de monitorización.
• Caídas de rendimiento, consumo anómalo de CPU, correo saliente sospechoso o tareas programadas extrañas.

Ningún síntoma aislado confirma por sí solo una intrusión, pero varios de ellos juntos sí justifican una revisión inmediata.

Qué revisar paso a paso antes de limpiar el sitio

1. Haz una copia forense básica de archivos y base de datos antes de tocar nada, si tienes acceso.
2. Revisa usuarios: administradores, correos asociados, claves forzadas y cuentas antiguas.
3. Comprueba plugins y temas: versiones, extensiones abandonadas, nulled o instaladas sin control.
4. Inspecciona archivos críticos: wp-config.php, .htaccess, wp-content y uploads con PHP inesperado.
5. Revisa la base de datos en busca de opciones alteradas, payloads insertados o administradores creados por SQL.
6. Mira tareas programadas y cron si procede, porque algunos reinfectan el sitio automáticamente.

No borres archivos al azar ni des por hecho que cambiar una contraseña resuelve todo. Si el atacante dejó puertas traseras, la reinfección puede repetirse.

Qué hacer hoy si tu sitio web ha sido hackeado

• Cambia contraseñas de WordPress, hosting, FTP/SFTP, base de datos y correo asociado.
• Cierra sesiones activas y elimina usuarios no autorizados tras documentarlos.
• Pide al hosting revisión de logs, aislamiento temporal o restauración asistida si el alcance lo requiere.
• Pon la web en mantenimiento si está distribuyendo spam, malware o redirecciones maliciosas.
• Actualiza claves de seguridad y revisa permisos de archivos y directorios según el caso.

Si trabajas con una copia de seguridad, conviene comprobar que sea anterior a la infección y que no arrastre el mismo vector de entrada. Restaurar una copia insegura puede devolver el sitio a producción con el problema intacto.

Cómo limpiar un WordPress hackeado sin empeorar el problema

La limpieza debe hacerse con criterio: identificar el alcance, sustituir archivos del núcleo por versiones limpias, revisar manualmente temas y plugins, y depurar la base de datos si hay contenido inyectado. Cuando sea viable, suele ser más seguro reconstruir desde archivos oficiales y componentes confiables que intentar “parchear” una instalación muy alterada.

No asumas que un plugin de seguridad o un escáner web eliminará todo el malware WordPress. Pueden ayudar a localizar indicadores, pero habrá que verificar persistencias, backdoors y cambios ocultos. La documentación oficial de WordPress mantiene una guía útil sobre sitios comprometidos en wordpress.org.

Tras la limpieza, compara archivos modificados, revisa el comportamiento del sitio y confirma que no reaparezcan usuarios, redirecciones o código inyectado.

Cómo proteger WordPress después del ataque

• Actualiza WordPress, temas y plugins y elimina lo que no uses.
• Activa autenticación multifactor si tu entorno lo permite.
• Restringe permisos, desactiva cuentas innecesarias y revisa roles.
• Programa copias de seguridad verificadas y pruebas de restauración.
• Monitoriza cambios de archivos, inicios de sesión y alertas del servidor.
• Evita plugins o temas de procedencia dudosa y endurece la seguridad WordPress de forma continuada.

Si tu web da servicio a clientes en España, también conviene coordinar la incidencia con tu proveedor de hosting para acelerar accesos a registros, bloqueos o restauraciones, porque la capacidad de respuesta depende mucho de la infraestructura.

Detectar un wordpress hackeado exige método: confirmar señales, contener el incidente, revisar usuarios, plugins, temas, archivos, base de datos y posibles persistencias. Actuar rápido ayuda, pero actuar con orden ayuda más.

Si el sitio sigue reinfectándose, no tienes acceso suficiente o dudas sobre el alcance real, el siguiente paso razonable es pedir una revisión técnica especializada. En incidentes complejos, una limpieza prudente y verificada suele ahorrar tiempo, riesgo y nuevas caídas.