WordPress hackeado cómo saberlo y actuar hoy
11 min lectura

WordPress hackeado cómo saberlo y actuar hoy

Descubre cómo saber si tu WordPress ha sido hackeado, las señales más comunes y los pasos claros para limpiar, asegurar y prevenir futuros ataques.

Índice

Cómo saber si tu WordPress está hackeado

Detectar a tiempo si tu WordPress ha sido hackeado es clave para minimizar daños en tu marca, tu posicionamiento SEO y la confianza de tus usuarios. Muchos ataques pasan desapercibidos durante semanas porque el sitio sigue funcionando aparentemente con normalidad, mientras en segundo plano se envía spam, se redirige tráfico o se roban datos. Por eso, es fundamental conocer las señales más habituales de compromiso y aplicar una metodología clara de diagnóstico.

Un sitio WordPress hackeado puede mostrar síntomas evidentes, como una página de inicio modificada, pero también indicadores sutiles, como un aumento inusual de consumo de recursos en el servidor o alertas de Google Search Console. Cuanto antes identifiques el problema, más fácil será limpiarlo y recuperar la confianza de buscadores y visitantes.

Objetivo de esta guía

En este artículo aprenderás a:

  • Reconocer las señales más frecuentes de un WordPress hackeado.
  • Realizar comprobaciones técnicas rápidas para confirmar el ataque.
  • Aplicar pasos urgentes para contener el problema hoy mismo.
  • Limpiar tu sitio y reforzar su seguridad para evitar nuevos hackeos.

Señales comunes de un WordPress comprometido

Un hackeo en WordPress puede manifestarse de muchas formas. Algunas son muy visibles para el usuario final, mientras que otras solo se detectan revisando registros del servidor o herramientas de analítica. Conocer estas señales te ayudará a reaccionar con rapidez.

  • Cambios visuales en la web: página de inicio alterada, mensajes extraños, pop-ups no autorizados o banners de contenido adulto o de apuestas.
  • Redirecciones inesperadas: al entrar en tu dominio, algunos usuarios son enviados a sitios de spam, phishing o descargas maliciosas.
  • Alertas del navegador: Google Chrome, Firefox u otros navegadores muestran avisos de "sitio engañoso" o "sitio potencialmente peligroso".
  • Avisos de Google Search Console: mensajes de contenido hackeado, malware o problemas de seguridad detectados en tu sitio.
  • Caída brusca del tráfico orgánico: descenso repentino en visitas desde Google, a menudo acompañado de desindexación de URLs.
  • Creación masiva de páginas o usuarios: entradas, páginas o cuentas de usuario desconocidas que no has creado tú.
  • Correos de spam desde tu dominio: tu proveedor de hosting te avisa de envío masivo de emails o tus mensajes empiezan a ir a la carpeta de spam.
  • Consumo anómalo de recursos: picos de CPU, memoria o ancho de banda sin explicación aparente, incluso con poco tráfico.
  • Archivos sospechosos en el servidor: ficheros PHP, JS o .zip desconocidos en carpetas como wp-content o uploads.
  • Imposibilidad de acceder al panel: tu usuario administrador deja de funcionar o se cambia la contraseña sin tu intervención.

Consejo práctico

Documenta con capturas de pantalla y notas cualquier síntoma que detectes. Esta información será muy útil si necesitas ayuda profesional o si debes justificar acciones ante tu hosting o tu equipo interno.

Comprobaciones técnicas rápidas paso a paso

Una vez sospechas que tu WordPress puede estar hackeado, conviene realizar una serie de comprobaciones técnicas rápidas. No requieren conocimientos avanzados, pero sí seguir un orden lógico para no pasar por alto indicadores importantes.

  • 1. Revisar avisos de Google Search Console
    • Accede a Search Console y selecciona tu propiedad.
    • Ve a Seguridad y acciones manuales > Problemas de seguridad.
    • Comprueba si hay avisos de contenido hackeado, malware o phishing.
  • 2. Analizar el sitio con un escáner online
    • Utiliza herramientas como Sucuri SiteCheck o VirusTotal Website Scanner.
    • Introduce tu dominio y revisa si detectan malware, redirecciones o listas negras.
  • 3. Comprobar integridad de archivos principales
    • Conéctate por FTP o desde el administrador de archivos del hosting.
    • Revisa archivos como wp-config.php, .htaccess y el contenido de wp-admin y wp-includes.
    • Busca código extraño, funciones ofuscadas o archivos que no reconozcas.
  • 4. Revisar usuarios de WordPress
    • Entra en Usuarios > Todos los usuarios.
    • Identifica cuentas administrador que no hayas creado.
    • Desactiva o elimina usuarios sospechosos tras asegurarte de que no pertenecen a tu equipo.
  • 5. Comprobar plugins y temas instalados
    • Desinstala plugins y temas que no uses.
    • Actualiza todo a la última versión estable.
    • Desconfía de plugins o temas nulled (pirateados), son una vía común de infección.
  • 6. Revisar registros del servidor (logs)
    • Accede a los logs de acceso y error desde tu panel de hosting.
    • Busca picos de peticiones, IPs repetidas o rutas extrañas (por ejemplo, llamadas a archivos en /wp-content/uploads/ que no deberían ejecutarse).

Importante

No borres archivos ni bases de datos sin tener una copia de seguridad reciente. Un paso impulsivo puede complicar la recuperación del sitio o provocar pérdida irreversible de información.

Primeros pasos urgentes cuando detectas un hackeo

Si confirmas o tienes una alta sospecha de que tu WordPress ha sido hackeado, es esencial actuar con rapidez pero también con orden. El objetivo inicial es contener el ataque, proteger a tus usuarios y preservar la evidencia necesaria para limpiar el sitio correctamente.

  • 1. Poner el sitio en modo mantenimiento (si es posible)
    • Usa un plugin de mantenimiento o una página estática temporal.
    • Evita que los usuarios sigan interactuando con contenido potencialmente malicioso.
  • 2. Cambiar todas las contraseñas críticas
    • Usuarios de WordPress (especialmente administradores y editores).
    • Acceso al panel de hosting, FTP/SFTP, base de datos y correo asociado al dominio.
    • Utiliza contraseñas largas y únicas, preferiblemente con un gestor de contraseñas.
  • 3. Hacer una copia de seguridad completa del estado actual
    • Aunque el sitio esté infectado, realiza un backup de archivos y base de datos.
    • Servirá como referencia para analizar el ataque y, en caso extremo, para recuperar contenido.
  • 4. Contactar con el proveedor de hosting
    • Informa del incidente y solicita revisión de seguridad.
    • Pregunta si disponen de copias de seguridad limpias anteriores al ataque.
    • En algunos hostings especializados, el soporte puede ayudarte a limpiar el sitio.
  • 5. Desconectar integraciones sensibles
    • Si gestionas pagos, revisa claves de API de pasarelas (Stripe, PayPal, etc.).
    • Regenera claves y tokens si sospechas que han podido ser expuestos.

Comunicación con tus usuarios

Si el ataque ha podido afectar a datos personales o pagos, valora informar a tus usuarios de forma transparente. En algunos casos, la normativa (como el RGPD) obliga a notificar incidentes de seguridad a las autoridades y a los afectados.

Cómo limpiar un WordPress hackeado

Limpiar un WordPress hackeado implica eliminar el código malicioso, cerrar las puertas de entrada y restaurar la integridad de archivos y base de datos. El proceso puede variar según el tipo de ataque, pero existen pasos comunes que conviene seguir de forma sistemática.

  • 1. Identificar el alcance de la infección
    • Determina si el ataque afecta solo a WordPress o a toda la cuenta de hosting.
    • Comprueba si hay otros sitios en el mismo servidor comprometidos.
  • 2. Escanear archivos con herramientas de seguridad
    • Instala un plugin de seguridad (Wordfence, iThemes Security, Sucuri, etc.).
    • Ejecuta un escaneo completo para localizar archivos infectados o modificados.
  • 3. Reemplazar archivos principales de WordPress
    • Descarga la última versión de WordPress desde el sitio oficial.
    • Sustituye las carpetas wp-admin y wp-includes por versiones limpias.
    • Reemplaza archivos raíz como wp-settings.php, wp-load.php, etc., sin tocar wp-config.php.
  • 4. Revisar y limpiar wp-content
    • Analiza los temas y plugins instalados. Elimina los que no uses.
    • Si es posible, reinstala desde cero los temas y plugins activos.
    • Revisa la carpeta uploads en busca de archivos PHP u otros ejecutables que no deberían estar ahí.
  • 5. Limpiar la base de datos
    • Accede a phpMyAdmin o a la herramienta de gestión de bases de datos de tu hosting.
    • Busca tablas desconocidas o con prefijos extraños.
    • Revisa las tablas de wp_options, wp_posts y wp_users en busca de entradas sospechosas (scripts, iframes, redirecciones).
  • 6. Revisar .htaccess y archivos de configuración
    • Abre el archivo .htaccess en la raíz del sitio.
    • Elimina reglas extrañas de redirección o ejecución de scripts.
    • Regenera el archivo desde Ajustes > Enlaces permanentes en WordPress.
  • 7. Verificar que el sitio está limpio
    • Vuelve a ejecutar los escaneos de seguridad.
    • Comprueba manualmente las páginas más importantes.
    • Analiza de nuevo el dominio con escáneres externos.

Cuándo restaurar desde una copia de seguridad

Si la infección es muy extensa o no logras identificar todo el código malicioso, puede ser más seguro restaurar una copia de seguridad limpia anterior al ataque. Asegúrate de:

  • Verificar que el backup es realmente previo al hackeo.
  • Actualizar inmediatamente WordPress, temas y plugins tras la restauración.
  • Cambiar todas las contraseñas y aplicar medidas de seguridad adicionales.

Reforzar la seguridad de WordPress después del ataque

Una vez que tu WordPress está limpio, el siguiente paso es reforzar su seguridad para reducir al máximo la probabilidad de nuevos hackeos. Muchos sitios vuelven a ser atacados porque se restauran sin corregir la vulnerabilidad original.

  • 1. Mantener todo actualizado
    • Activa actualizaciones automáticas para versiones menores de WordPress.
    • Revisa semanalmente actualizaciones de temas y plugins.
    • Elimina componentes abandonados o sin soporte.
  • 2. Implementar autenticación en dos pasos (2FA)
    • Instala un plugin que permita 2FA para usuarios administradores.
    • Obliga a tu equipo a activarlo en sus cuentas.
  • 3. Limitar intentos de acceso y proteger el login
    • Configura límites de intentos de inicio de sesión.
    • Cambia la URL de acceso por defecto /wp-login.php si tu plugin de seguridad lo permite.
    • Bloquea IPs con comportamiento sospechoso.
  • 4. Restringir permisos de usuario y archivos
    • Otorga solo los permisos necesarios a cada rol de usuario.
    • Asegúrate de que los permisos de archivos y carpetas en el servidor son los recomendados (por ejemplo, 644 para archivos y 755 para directorios, salvo excepciones).
  • 5. Configurar copias de seguridad automáticas
    • Programa backups diarios o semanales según la frecuencia de cambios.
    • Guarda copias en una ubicación externa al servidor (cloud, almacenamiento remoto).
  • 6. Monitorizar actividad y archivos
    • Activa registros de actividad de usuarios (quién entra, qué cambia, cuándo).
    • Configura alertas por email ante cambios críticos en archivos o configuraciones.

Seguridad como proceso continuo

La seguridad en WordPress no es una acción puntual, sino un proceso. Revisa periódicamente tu configuración, mantente informado sobre vulnerabilidades conocidas y aplica buenas prácticas de forma constante.

Errores frecuentes al gestionar un WordPress hackeado

Ante la presión de tener un sitio caído o infectado, es habitual cometer errores que complican aún más la situación. Conocerlos te ayudará a evitarlos y a gestionar el incidente con mayor eficacia.

  • Ignorar las primeras señales: dejar pasar avisos de Search Console, alertas del hosting o quejas de usuarios pensando que se trata de un fallo puntual.
  • Borrar archivos al azar: eliminar ficheros sin saber su función puede romper el sitio y dificultar la limpieza.
  • Restaurar un backup infectado: volver una y otra vez a una copia de seguridad que ya contiene el malware.
  • No cambiar todas las contraseñas: dejar credenciales antiguas en uso permite al atacante volver a entrar incluso después de limpiar.
  • Confiar en plugins nulled: reinstalar temas o plugins pirata que fueron, probablemente, el origen del problema.
  • No revisar otros sitios del mismo servidor: si compartes hosting con otros proyectos, el ataque puede propagarse entre ellos.
  • No comunicar el incidente: ocultar el problema a tu equipo, clientes o usuarios puede generar desconfianza cuando se descubra.

Cómo minimizar el impacto

Actúa con calma, documenta cada paso que das y, si no tienes experiencia técnica, valora recurrir a un profesional especializado en seguridad WordPress. El coste de una intervención experta suele ser menor que el impacto de un sitio comprometido durante semanas.

Herramientas recomendadas para detectar y limpiar

Contar con buenas herramientas facilita enormemente la detección y limpieza de un WordPress hackeado. A continuación se presentan algunas opciones populares y eficaces que puedes combinar según tus necesidades y nivel técnico.

  • Plugins de seguridad para WordPress
    • Wordfence Security: firewall de aplicaciones web (WAF), escáner de malware, bloqueo de IPs y monitorización en tiempo real.
    • Sucuri Security: auditoría de seguridad, escaneo de archivos, monitorización de integridad y notificaciones.
    • iThemes Security: endurecimiento de la configuración, protección de login, detección de cambios en archivos.
  • Escáneres online externos
    • Sucuri SiteCheck: analiza tu dominio en busca de malware, listas negras y problemas de seguridad.
    • VirusTotal: permite escanear URLs y archivos sospechosos con múltiples motores antivirus.
  • Herramientas del hosting
    • Muchos proveedores incluyen escáneres de malware y sistemas de cuarentena.
    • Algunos ofrecen servicios de limpieza profesional bajo demanda.
  • Utilidades de análisis de archivos
    • Comparadores de archivos (diff) para detectar cambios entre versiones limpias y comprometidas.
    • Buscadores de texto (grep) para localizar patrones de código malicioso en el servidor.

Criterios para elegir herramientas

Valora la reputación del proveedor, la frecuencia de actualizaciones, el soporte disponible y el impacto en el rendimiento de tu sitio. Evita instalar múltiples plugins de seguridad que hagan lo mismo, ya que pueden generar conflictos y ralentizar la web.

Plan de prevención para evitar futuros hackeos

Más allá de reaccionar cuando tu WordPress ha sido hackeado, es fundamental contar con un plan de prevención. Un enfoque proactivo reduce drásticamente el riesgo de incidentes graves y te permite responder con rapidez si algo ocurre.

  • 1. Política de actualizaciones y mantenimiento
    • Define quién es responsable de mantener el sitio al día.
    • Establece una frecuencia de revisión (por ejemplo, semanal o quincenal).
    • Documenta los cambios realizados para poder revertirlos si es necesario.
  • 2. Gestión de accesos y roles
    • Concede acceso de administrador solo a personas de máxima confianza.
    • Usa roles más limitados (editor, autor, colaborador) cuando sea posible.
    • Revoca accesos de usuarios que ya no colaboran en el proyecto.
  • 3. Selección de hosting seguro
    • Elige un proveedor con buena reputación en seguridad y soporte.
    • Valora opciones de hosting gestionado especializado en WordPress.
    • Comprueba que ofrecen copias de seguridad automáticas y sistemas de aislamiento entre cuentas.
  • 4. Auditorías de seguridad periódicas
    • Programa revisiones trimestrales o semestrales de seguridad.
    • Incluye escaneos de malware, revisión de logs y comprobación de configuraciones críticas.
  • 5. Formación básica del equipo
    • Educa a los usuarios con acceso al panel sobre buenas prácticas (contraseñas, phishing, descargas seguras).
    • Establece protocolos claros para instalar nuevos plugins o temas.

Beneficios de un enfoque preventivo

Invertir tiempo en prevención reduce costes, evita pérdidas de reputación y mejora la estabilidad de tu proyecto online. Un sitio seguro transmite confianza a usuarios, clientes y motores de búsqueda.

Preguntas frecuentes

¿Cómo saber con certeza si mi WordPress ha sido hackeado?

No existe un único indicador definitivo, pero la combinación de síntomas (redirecciones, avisos de Google, archivos desconocidos, creación de usuarios extraños) y los resultados de escáneres de seguridad suele ser concluyente. Si varias señales coinciden, actúa como si el sitio estuviera comprometido.

¿Puedo limpiar un WordPress hackeado sin conocimientos técnicos?

Es posible seguir guías y usar plugins de seguridad para limpiar infecciones sencillas, pero algunos ataques son complejos y requieren experiencia. Si gestionas datos sensibles o comercio electrónico, es recomendable contar con ayuda profesional para garantizar una limpieza completa.

¿Cuánto tiempo tarda Google en quitar el aviso de sitio hackeado?

Una vez que tu sitio está limpio y solicitas una revisión desde Google Search Console, el proceso suele tardar desde unas horas hasta varios días. El tiempo exacto depende de la carga de trabajo de Google y de la claridad con la que se haya resuelto el problema de seguridad.

¿Es mejor restaurar una copia de seguridad o limpiar manualmente?

Si dispones de un backup reciente y seguro anterior al ataque, restaurarlo puede ser la opción más rápida. Sin embargo, debes asegurarte de que la vulnerabilidad que permitió el hackeo se corrige después (actualizaciones, contraseñas, configuración), o el problema puede repetirse en poco tiempo.

¿Cómo evitar que mi WordPress vuelva a ser hackeado?

Mantén WordPress, temas y plugins siempre actualizados, utiliza contraseñas robustas y 2FA, instala un plugin de seguridad confiable, realiza copias de seguridad periódicas y evita plugins o temas de origen dudoso. Complementa todo ello con un hosting seguro y revisiones de seguridad regulares.

¿Necesitas orientación personalizada?

Te ayudamos a entender tus opciones y el siguiente paso.

Solicitar orientación
Compartir artículo:
Facebook X LinkedIn WhatsApp

Artículos y servicios relacionados

¿Tienes dudas?

Te llamamos gratis

Revisa los siguientes campos:

Mensaje

Tus datos están protegidos

¡Mensaje enviado!

Te contactaremos en menos de 24 horas

Usamos cookies para mejorar tu experiencia…