WordPress infectado en wp includes cómo limpiarlo

Cuando aparece un wordpress infectado dentro de wp-includes, no conviene tratarlo como un fallo menor ni como un archivo suelto dañado. wp-includes es un directorio del núcleo de WordPress; si sus archivos han sido modificados sin motivo legítimo, en muchos casos es una señal de que la instalación completa puede estar comprometida.

La vía prudente no suele consistir en borrar fragmentos de código a mano sin contexto, sino en confirmar la alteración, aislar el sitio y sustituir los archivos del core por una copia limpia de la misma versión, revisando después accesos, extensiones y posibles puertas traseras. Limpiar solo wp-includes puede quitar el síntoma visible, pero no necesariamente el origen ni la reinfección.

Qué significa encontrar wp-includes infectado en WordPress

wp-includes contiene parte esencial del funcionamiento interno de WordPress. Ahí residen librerías, funciones base y componentes que el sistema carga de forma habitual. Por eso, si encuentras código sospechoso, archivos añadidos donde no deberían estar o cambios no explicados por una actualización oficial, el problema no suele limitarse a una carpeta concreta.

En la práctica, hablar de malware wp-includes puede referirse a varios escenarios: archivos del core alterados, scripts añadidos para redirecciones, carga de spam, backdoors discretas o instrucciones ofuscadas insertadas en ficheros legítimos. También puede haber falsos positivos si una herramienta de seguridad compara mal la versión del core o si hay restos de una actualización incompleta. Por eso conviene confirmar antes de borrar.

Un punto clave: wp-includes no es la zona habitual para personalizaciones. Si algo parece “hecho a medida” ahí dentro, normalmente merece revisión inmediata.

Señales que suelen indicar una infección real en el núcleo

No toda alerta implica una intrusión confirmada, pero hay indicadores que justifican una revisión seria de la integridad de archivos:

• Archivos dentro de wp-includes con fechas recientes sin relación con una actualización planificada.
• Ficheros con nombres extraños o extensiones impropias en el core.
• Código ofuscado, cadenas muy largas codificadas o llamadas sospechosas a funciones de ejecución dinámica.
• Redirecciones, inyecciones SEO, páginas spam o cambios de comportamiento solo en ciertas URLs o dispositivos.
• Alertas del hosting, del WAF o de un escáner que señalan archivos del núcleo modificados.
• Usuarios administradores desconocidos, tareas programadas inesperadas o reinfección tras una limpieza superficial.

Si dispones de acceso por SSH o WP-CLI, algunas verificaciones pueden hacerse de forma más rápida, pero no es universalmente seguro dar comandos cerrados sin conocer el entorno. En hostings gestionados, instalaciones con permisos restringidos o versiones antiguas, la comprobación puede requerir otras rutas de trabajo. Si no tienes una referencia limpia del core, compara la versión instalada con el paquete oficial correspondiente descargado desde WordPress.org.

Conviene diferenciar entre un archivo del core alterado y un problema generado por plugin o tema. Aunque el síntoma aparezca en wp-includes, la vía de entrada real puede haber sido una extensión vulnerable, credenciales expuestas o una cuenta del servidor comprometida.

Qué hacer antes de tocar archivos: copia, aislamiento y acceso seguro

Antes de modificar nada, prioriza la conservación de evidencia mínima y evita empeorar la instalación. Estos pasos son razonables en la mayoría de casos:

1. Activa mantenimiento o restringe acceso si es posible. Si el sitio está sirviendo contenido malicioso o redirecciones, conviene reducir exposición. La forma exacta depende del hosting, CDN, panel de control o reglas del servidor.
2. Haz una copia completa. Incluye archivos y base de datos. Si luego necesitas investigar la intrusión o recuperar contenido, esa copia puede ser útil. No sustituyas la copia por una descarga parcial.
3. Trabaja desde un equipo confiable. Si el ordenador del administrador está comprometido, cambiar contraseñas o subir archivos limpios puede no servir.
4. Identifica la versión exacta de WordPress instalada. Esto es importante para reemplazar el core con un paquete compatible.
5. Anota accesos implicados. WordPress, base de datos, SFTP/FTP, panel del hosting, SSH, CDN y correo asociado.

Si tienes una copia limpia y reciente verificada, restaurarla puede ser más eficiente que una limpieza manual, pero solo si sabes que esa copia no contiene ya la intrusión y si puedes asumir la pérdida de cambios posteriores. En sitios activos, conviene valorar impacto en pedidos, formularios, usuarios o contenido reciente.

Cómo limpiar wp-includes sin dañar la instalación

La opción más segura en muchos casos es sustituir los archivos del núcleo por una copia limpia de la misma versión de WordPress. Esto reduce el riesgo de dejar fragmentos maliciosos ocultos en ficheros del core y evita tener que decidir manualmente qué línea es legítima y cuál no.

1. Confirma la versión instalada. No reemplaces el core con otra versión distinta salvo que el procedimiento esté planificado como actualización y el entorno lo soporte.
2. Descarga una copia limpia desde WordPress.org. Asegúrate de obtener el paquete oficial correspondiente a la versión que vas a usar.
3. Prepara el reemplazo del core. Normalmente se sustituyen directorios y archivos del núcleo como wp-includes y wp-admin, además de archivos raíz del core cuando proceda.
4. Preserva lo que no debe tocarse sin revisión específica. En general, wp-config.php y wp-content no se reemplazan como parte de una reinstalación básica del núcleo, aunque sí deben revisarse porque también pueden estar comprometidos.
5. Sobrescribe los archivos del core con la copia limpia. Hazlo por el método que mejor se ajuste a tu hosting: administrador de archivos, SFTP o SSH si está disponible y sabes usarlo con seguridad.
6. Verifica funcionamiento básico. Comprueba acceso al panel, frontend, formularios y logs de error si existen.

Este procedimiento no equivale a dar por resuelto todo el incidente. Si el sitio tenía una puerta trasera en un plugin, un tema, la carpeta de subidas, la base de datos o una cuenta del servidor, el reemplazo del core solo habrá eliminado una parte del problema.

Si no hay copia limpia, si el sitio usa personalizaciones antiguas o si aparecen múltiples indicadores de compromiso, conviene documentar cambios y avanzar por fases en lugar de improvisar.

Qué revisar después para evitar que el malware reaparezca

Una vez reemplazado el núcleo, la prioridad pasa a identificar la posible vía de entrada y reducir la reinfección. Esta checklist práctica suele ser útil:

• Revisar usuarios administradores y eliminar cuentas no reconocidas.
• Cambiar contraseñas de WordPress, hosting, SFTP/FTP, SSH, base de datos y correo asociado.
• Comprobar plugins y temas: versiones, procedencia, licencias y si hay extensiones abandonadas o anuladas.
• Reinstalar plugins y temas desde fuentes fiables, no desde paquetes dudosos.
• Inspeccionar wp-content, especialmente uploads, mu-plugins y directorios poco habituales.
• Revisar .htaccess y otros archivos de configuración del servidor para detectar redirecciones o reglas anómalas.
• Comprobar tareas programadas del sistema o del panel de hosting si el entorno las permite.
• Analizar la base de datos en busca de inyecciones en opciones, contenido o usuarios, si hay indicios.
• Verificar permisos de archivos y carpetas para evitar escrituras excesivas.

Aquí es donde más fallos se cometen: limpiar el síntoma y no la causa. Si la intrusión vino por credenciales filtradas, un plugin vulnerable o una cuenta SFTP antigua, el malware puede reaparecer aunque el core haya quedado limpio.

Como referencia oficial para endurecimiento general, WordPress mantiene su guía de seguridad y hardening en Hardening WordPress.

Cuándo conviene escalar la limpieza o pedir ayuda profesional

Hay escenarios en los que la limpieza interna deja de ser una tarea razonable para una pyme o una agencia sin tiempo de análisis:

• No puedes identificar la versión del sitio ni disponer de una copia limpia fiable.
• La web se reinfecta después de reemplazar el core.
• Hay múltiples instalaciones afectadas en la misma cuenta de hosting.
• Existen indicios de acceso al servidor, a cuentas de correo o a la base de datos.
• El sitio es de negocio y no puedes asumir paradas, pérdida de datos o errores manuales.

Pedir ayuda profesional no implica renunciar al control, sino reducir riesgo de reinfección y acortar tiempos cuando el incidente afecta a varias capas: WordPress, extensiones, servidor, credenciales y reputación del dominio. Si delegas, conviene solicitar un enfoque claro: qué se ha encontrado, qué se va a sustituir, qué accesos se van a rotar y qué medidas de hardening se aplicarán después.

Fuentes recomendadas

• WordPress.org Documentation: Hardening WordPress