WordPress infectado en wp includes cómo limpiarlo

¿Qué significa tener wp-includes infectado?

Cuando se habla de un WordPress infectado en la carpeta wp-includes, se hace referencia a la presencia de código malicioso (malware, puertas traseras, inyecciones de spam o scripts) dentro de uno de los directorios más sensibles del núcleo de WordPress. Esta carpeta contiene archivos esenciales que gestionan funciones internas, hooks, filtros, carga de scripts y gran parte del comportamiento básico del CMS. Cualquier modificación no autorizada en esta zona puede comprometer por completo la seguridad y estabilidad del sitio.

Los atacantes suelen elegir wp-includes porque saben que es un directorio con muchos archivos PHP legítimos, lo que les permite ocultar su código entre ficheros originales o crear nuevos archivos con nombres muy parecidos a los oficiales. Además, al cargarse en casi todas las peticiones, el malware alojado aquí puede ejecutarse de forma constante, redirigir tráfico, enviar spam o abrir puertas traseras para futuros accesos.

Síntomas de un WordPress infectado en wp-includes

Un WordPress infectado en wp-includes puede manifestarse de muchas formas, desde pequeños comportamientos extraños hasta bloqueos totales del sitio. Reconocer estos síntomas ayuda a confirmar la infección y a priorizar la limpieza antes de que el problema afecte al SEO, a la reputación de la marca o a la seguridad de los usuarios.

• Redirecciones inesperadas: los visitantes son enviados a páginas de spam, casinos, sitios de descargas o contenido adulto, especialmente en la primera visita o solo desde móviles.
• Alertas de navegadores y antivirus: Chrome, Firefox u otros navegadores muestran avisos de "sitio engañoso" o "página potencialmente peligrosa" al intentar acceder.
• Mensajes de Google Search Console: notificaciones de software malicioso, páginas hackeadas o contenido sospechoso detectado en el sitio.
• Archivos desconocidos en wp-includes: ficheros PHP con nombres extraños, cadenas aleatorias o fechas de modificación recientes que no coinciden con actualizaciones del núcleo.
• Consumo anómalo de recursos: picos de CPU, memoria o ancho de banda sin aumento real de tráfico, a menudo por envío masivo de spam o ejecución de scripts ocultos.
• Inyección de código en el front-end: scripts ofuscados en el código fuente, pop-ups desconocidos o iframes que cargan recursos externos sospechosos.
• Usuarios administradores no reconocidos: cuentas nuevas con privilegios elevados creadas sin autorización, utilizadas como puerta trasera.

Pasos previos: copias de seguridad y entorno seguro

Antes de empezar a limpiar un WordPress infectado en wp-includes, es fundamental preparar un entorno seguro de trabajo y garantizar que existe al menos una copia de seguridad completa del sitio. Un error al eliminar o sobrescribir archivos del núcleo puede dejar la web inaccesible si no se cuenta con un respaldo.

• Realiza una copia de seguridad completa: incluye archivos (toda la carpeta de WordPress) y base de datos. Puedes usar herramientas del hosting, plugins de backup o copias manuales vía FTP y phpMyAdmin.
• Descarga la copia a tu equipo: no confíes únicamente en el servidor. Guarda un backup local para poder restaurar incluso si el hosting se ve comprometido.
• Trabaja desde una red segura: evita redes Wi-Fi públicas y asegúrate de que tu propio ordenador está libre de malware y con antivirus actualizado.
• Cambia las contraseñas críticas: acceso al panel de hosting, FTP/SFTP, base de datos y usuarios administradores de WordPress. Usa contraseñas largas y únicas.
• Activa SFTP o SSH: si es posible, evita FTP sin cifrar. El uso de SFTP o SSH reduce el riesgo de robo de credenciales durante el proceso de limpieza.

Cómo identificar archivos maliciosos en wp-includes

Localizar el malware dentro de wp-includes requiere combinar herramientas automáticas con revisión manual. Los atacantes suelen usar técnicas de ofuscación y nombres similares a los archivos legítimos para pasar desapercibidos, por lo que no basta con borrar lo que parezca sospechoso sin una mínima comprobación.

1. Comparar con una instalación limpia de WordPress

Una de las formas más fiables de detectar cambios no autorizados es comparar la carpeta wp-includes infectada con la misma carpeta de una versión limpia de WordPress.

• Descarga desde wordpress.org la misma versión de WordPress que utiliza tu sitio.
• Extrae el archivo ZIP en tu ordenador y localiza la carpeta wp-includes limpia.
• Compara ambas carpetas (local vs servidor) usando herramientas de comparación de archivos o tu cliente FTP.
• Presta atención a archivos adicionales que no existan en la versión limpia y a diferencias en el contenido de los archivos originales.

2. Buscar patrones de código malicioso

Muchos scripts maliciosos comparten patrones reconocibles. Aunque los atacantes intentan ofuscar el código, suelen aparecer funciones y estructuras sospechosas.

• Uso intensivo de funciones como eval(), base64_decode(), gzinflate(), str_rot13() o create_function() en lugares donde no deberían estar.
• Bloques de código muy largos en una sola línea, con caracteres extraños o cadenas aparentemente aleatorias.
• Comentarios o variables con nombres sin sentido, mezclas de letras y números, o referencias a dominios externos sospechosos.

3. Utilizar escáneres de malware

Los plugins de seguridad y escáneres externos pueden ayudar a localizar archivos infectados en wp-includes y en el resto del sitio.

• Plugins como Wordfence, Sucuri Security, iThemes Security o MalCare ofrecen escaneos de archivos del núcleo.
• Algunos hostings incluyen escáneres de malware integrados en el panel de control.
• Servicios externos permiten analizar el dominio en busca de listas negras y comportamientos maliciosos.

Limpieza manual de wp-includes paso a paso

La limpieza manual de wp-includes ofrece un control total sobre lo que se elimina y se restaura, pero requiere atención y cierta familiaridad con la estructura de WordPress. A continuación se detalla un procedimiento seguro para limpiar esta carpeta sin comprometer el funcionamiento del sitio.

1. Poner el sitio en modo mantenimiento (opcional pero recomendado)

Mientras se realiza la limpieza, es recomendable activar un modo mantenimiento para evitar que los usuarios vean errores o que el malware siga ejecutándose. Puedes usar un plugin de mantenimiento o un archivo .maintenance temporal.

2. Descargar una copia limpia de WordPress

Descarga desde el sitio oficial la misma versión de WordPress que utiliza tu instalación. Si no conoces la versión exacta, puedes consultarla en el archivo wp-includes/version.php o en el panel de administración (si aún es accesible).

• Ve a https://es.wordpress.org/download/ o al repositorio de versiones anteriores.
• Descarga el ZIP y extráelo en tu ordenador.
• Localiza la carpeta wp-includes limpia dentro del paquete.

3. Sustituir la carpeta wp-includes

La forma más segura de eliminar el malware en wp-includes es reemplazar completamente la carpeta por la versión original de WordPress.

• Conéctate al servidor mediante SFTP/FTP o SSH.
• Cambia el nombre de la carpeta actual a algo como wp-includes-old para conservarla temporalmente.
• Sube la carpeta wp-includes limpia desde tu ordenador al servidor.
• Verifica que los permisos de archivos y carpetas sean correctos (normalmente 644 para archivos y 755 para directorios).

4. Revisar archivos de configuración y carga

Aunque el foco esté en wp-includes, muchos ataques modifican también archivos clave que cargan el núcleo de WordPress.

• Revisa wp-config.php en busca de código extraño antes o después de la configuración habitual.
• Comprueba index.php en la raíz y en el tema activo por si se han añadido inclusiones sospechosas.
• Examina .htaccess para detectar redirecciones o reglas desconocidas.

5. Probar el sitio y eliminar la carpeta antigua

Una vez reemplazada la carpeta, prueba el sitio en modo incógnito y desde diferentes dispositivos. Si todo funciona correctamente y no se detectan errores, puedes eliminar la carpeta wp-includes-old que guardaste como copia.

Limpieza automatizada con plugins y herramientas

Además de la limpieza manual, existen plugins y servicios especializados que pueden ayudar a detectar y eliminar malware en wp-includes y en el resto del sitio. Aunque no sustituyen a una revisión técnica completa, son un apoyo valioso, especialmente para usuarios menos experimentados.

1. Plugins de seguridad para WordPress

Algunos de los plugins más utilizados ofrecen escaneos de integridad del núcleo, detección de archivos modificados y limpieza automática de ciertas infecciones.

• Wordfence Security: compara los archivos del núcleo con la versión oficial de WordPress, detecta cambios y permite restaurar archivos individuales desde el panel.
• Sucuri Security: ofrece escaneos remotos y, en sus planes de pago, limpieza manual por parte de su equipo de seguridad.
• iThemes Security, MalCare y otros: incluyen funciones de escaneo, endurecimiento de seguridad y protección frente a ataques de fuerza bruta.

2. Herramientas del proveedor de hosting

Muchos proveedores de alojamiento web integran soluciones antimalware en sus paneles de control. Estas herramientas pueden detectar archivos infectados en wp-includes y ofrecer opciones de limpieza automática o asistencia técnica.

• Escáneres de malware programables desde el panel de control.
• Restauración rápida desde copias de seguridad automáticas del servidor.
• Soporte especializado en casos de hackeo, a veces incluido en el plan de hosting.

Revisar otras partes de WordPress tras limpiar wp-includes

Limpiar la carpeta wp-includes es solo una parte del proceso. La mayoría de las infecciones se propagan a otros directorios y archivos, por lo que es esencial revisar el resto de la instalación para evitar que el malware vuelva a reinstalarse.

• Carpeta wp-admin: al igual que wp-includes, forma parte del núcleo. Considera reemplazarla por completo desde una instalación limpia de WordPress.
• Archivos raíz: revisa wp-config.php, index.php, wp-settings.php, wp-load.php y otros archivos del directorio principal en busca de código añadido.
• Temas: comprueba el tema activo y elimina temas que no utilices. Si usas un tema descargado de fuentes no oficiales, plantéate sustituirlo por una versión legítima.
• Plugins: desactiva y actualiza todos los plugins. Elimina aquellos que no sean imprescindibles o que provengan de repositorios dudosos.
• Base de datos: busca entradas sospechosas en tablas como wp_options, wp_posts y wp_users, especialmente redirecciones, iframes o usuarios desconocidos.

Reforzar la seguridad para evitar reinfecciones

Una vez que has conseguido limpiar tu WordPress infectado en wp-includes, el siguiente paso es reforzar la seguridad para minimizar el riesgo de futuros ataques. La mayoría de las reinfecciones se producen porque la vulnerabilidad original no se ha corregido o porque se mantienen malas prácticas de seguridad.

• Mantén WordPress, temas y plugins actualizados: las versiones antiguas suelen contener vulnerabilidades conocidas que los atacantes explotan de forma masiva.
• Elimina lo que no uses: desinstala temas y plugins inactivos. Cada componente adicional es una posible puerta de entrada.
• Usa contraseñas seguras y únicas: combina letras, números y símbolos, y evita reutilizar contraseñas entre servicios.
• Activa la autenticación en dos pasos (2FA): muchos plugins de seguridad permiten añadir un segundo factor para el acceso al panel de administración.
• Restringe el acceso al panel de administración: limita el acceso a /wp-admin por IP, usa captchas o cambia la URL de acceso con herramientas específicas.
• Configura copias de seguridad automáticas: programa backups diarios o semanales y almacénalos fuera del servidor principal.
• Instala un firewall de aplicaciones web (WAF): ya sea a nivel de plugin o a través del proveedor de hosting, un WAF ayuda a bloquear ataques comunes antes de que lleguen a WordPress.

Errores comunes al limpiar un WordPress infectado

Durante el proceso de limpieza de un WordPress infectado, especialmente cuando el malware afecta a wp-includes, es frecuente cometer errores que complican aún más la situación. Conocerlos de antemano ayuda a evitarlos y a ahorrar tiempo y recursos.

• No hacer copia de seguridad antes de actuar: borrar archivos sin un respaldo previo puede dejar el sitio inutilizable sin posibilidad de recuperación sencilla.
• Borrar archivos del núcleo al azar: eliminar ficheros de wp-includes sin saber si son legítimos puede provocar errores fatales de PHP y pantallas en blanco.
• Confiar solo en un escáner: ningún escáner detecta el 100 % de las amenazas. Es necesario combinar herramientas y revisión manual.
• No corregir la causa raíz: limpiar el malware sin actualizar plugins vulnerables o sin cambiar contraseñas permite que el atacante vuelva a entrar.
• Ignorar la base de datos: muchas infecciones inyectan código en entradas, widgets o opciones. Limpiar solo archivos deja parte del problema activo.
• Retrasar la limpieza: cuanto más tiempo permanezca el sitio infectado, mayor será el daño a la reputación, al SEO y a la confianza de los usuarios.

Cuándo pedir ayuda profesional

No todos los casos de WordPress infectado son iguales. Algunas infecciones en wp-includes son relativamente sencillas de resolver, mientras que otras implican puertas traseras avanzadas, scripts distribuidos por todo el servidor o daños en la base de datos. En determinadas situaciones, recurrir a un profesional especializado es la opción más segura y rentable.

• Cuando el sitio es crítico para el negocio: tiendas online, plataformas de formación o webs corporativas con alto volumen de tráfico no pueden permitirse largos tiempos de inactividad.
• Si la infección se repite: si el sitio se reinfecta a los pocos días de la limpieza, es probable que exista una puerta trasera que no se ha localizado.
• Cuando no tienes experiencia técnica: si no te sientes cómodo manejando archivos del núcleo, base de datos o accesos por FTP/SSH, es mejor delegar la tarea.
• Si hay datos sensibles comprometidos: en sitios que gestionan información personal, pagos o datos médicos, puede ser necesario cumplir con obligaciones legales y auditorías de seguridad.

Preguntas frecuentes