WordPress marca sitio peligroso en Chrome cómo limpiar
11 min lectura

WordPress marca sitio peligroso en Chrome cómo limpiar

Guía completa para solucionar el aviso de sitio peligroso en Chrome con WordPress: causas, limpieza de malware, revisión de archivos y seguridad futura.

Índice

¿Por qué Chrome marca tu WordPress como peligroso?

Cuando Chrome marca tu sitio WordPress como peligroso, normalmente muestra mensajes como "El sitio al que vas a acceder contiene software malicioso" o "Sitio engañoso por delante". Esto significa que el navegador, apoyado en la lista de Google Safe Browsing, ha detectado comportamientos sospechosos o código malicioso en tu web o en algún recurso que cargas (scripts, iframes, imágenes, anuncios, etc.).

Aunque a veces se trata de un falso positivo, lo más habitual es que tu sitio haya sido hackeado o esté sirviendo contenido inseguro. Entender las causas es clave para limpiar correctamente y evitar que el aviso vuelva a aparecer.

  • Inyección de malware en archivos de WordPress (themes, plugins, wp-config.php, etc.).
  • Scripts maliciosos añadidos a través de vulnerabilidades en plugins o plantillas.
  • Redirecciones ocultas a sitios de phishing, casinos, contenido adulto o descargas ilegales.
  • Contenido mixto inseguro (HTTP) en un sitio que debería cargar solo por HTTPS.
  • Uso de recursos externos comprometidos (CDN, anuncios, widgets de terceros).

Idea clave: el aviso de sitio peligroso no es un problema de SEO aislado, sino un síntoma de un fallo de seguridad. Si solo solicitas la revisión a Google sin limpiar a fondo, el aviso volverá.

Tipos de avisos de seguridad en Chrome y Google

No todos los avisos de seguridad en Chrome significan lo mismo. Identificar el tipo de mensaje que ven tus usuarios ayuda a diagnosticar el problema y priorizar la limpieza adecuada.

  • "Sitio engañoso por delante": indica posible phishing o intento de robo de datos (contraseñas, tarjetas, etc.).
  • "El sitio al que vas a acceder contiene software malicioso": sugiere que tu web distribuye o redirige a malware.
  • "La conexión no es privada": suele estar relacionado con problemas de certificado SSL/TLS o configuración HTTPS.
  • "Este sitio puede haber sido hackeado" (en resultados de búsqueda): aviso en Google Search que indica contenido alterado.
  • "Este sitio puede dañar tu ordenador": alerta de alto riesgo en los resultados de Google.

Además de Chrome, Google Search Console y otras herramientas de Google suelen mostrar detalles adicionales sobre el tipo de amenaza detectada, lo que te orienta sobre dónde buscar el problema.

Consejo: haz capturas de pantalla de los avisos que ves en Chrome y en los resultados de Google. Te servirán para documentar el caso, pedir ayuda a tu hosting y comprobar después que el problema se ha resuelto.

Cómo detectar si tu WordPress está infectado

Antes de limpiar, necesitas confirmar si tu WordPress está realmente infectado y en qué medida. Combinar herramientas automáticas con revisión manual es la forma más eficaz de detectar el origen del problema.

  • Revisa Google Search Console
    • Accede a Problemas de seguridad y Acciones manuales.
    • Comprueba si hay avisos de contenido pirateado, phishing o software malicioso.
    • Anota las URLs afectadas y el tipo de amenaza.
  • Escanea tu sitio con herramientas online
    • Usa servicios como Sucuri SiteCheck, VirusTotal o similares.
    • Analiza tanto el dominio principal como subdominios relevantes.
  • Utiliza plugins de seguridad en WordPress
    • Instala plugins como Wordfence, iThemes Security o similares.
    • Ejecuta un escaneo completo de archivos y base de datos.
    • Revisa los informes de archivos modificados recientemente.
  • Comprueba manualmente archivos críticos
    • wp-config.php, .htaccess, index.php en raíz y en el tema.
    • Archivos en wp-content/uploads que no deberían ser PHP.
    • Archivos desconocidos en la raíz o en carpetas de plugins y temas.
  • Observa comportamientos extraños
    • Redirecciones solo para usuarios móviles o solo desde Google.
    • Enlaces ocultos a sitios externos en el pie de página o en el contenido.
    • Incremento inusual de consumo de recursos en el servidor.

Nota: muchos ataques son condicionales: el malware solo se muestra a usuarios nuevos, a tráfico de buscadores o a determinados países. Prueba tu sitio en modo incógnito, con VPN o usando herramientas de inspección remota.

Pasos previos: copias de seguridad y entorno de pruebas

Antes de tocar nada, es fundamental proteger tu información actual y trabajar de forma controlada. Una mala manipulación puede empeorar el problema o hacer que pierdas datos importantes.

  • Genera una copia de seguridad completa
    • Archivos del sitio: todo el contenido del directorio donde está WordPress.
    • Base de datos: exporta la base de datos MySQL/MariaDB desde phpMyAdmin o similar.
    • Guarda la copia en un lugar externo al servidor (tu ordenador, nube segura).
  • Crea un entorno de pruebas si es posible
    • Clona el sitio en un subdominio protegido con contraseña.
    • Realiza la limpieza y pruebas en ese entorno antes de aplicar cambios en producción.
  • Cambia las contraseñas críticas
    • Acceso al panel de hosting y FTP/SSH.
    • Usuarios administradores de WordPress.
    • Base de datos (y actualiza wp-config.php si cambias la contraseña).
  • Revisa quién tiene acceso
    • Elimina usuarios administradores que ya no deban tener permisos.
    • Comprueba que no existan usuarios sospechosos creados por el atacante.

Recomendación: si tu proveedor de hosting ofrece copias de seguridad automáticas, solicita una restauración a una fecha anterior al hackeo para comparar archivos limpios con los actuales. Esto acelera la identificación del malware.

Limpieza manual de WordPress: archivos y base de datos

La limpieza manual es más laboriosa, pero también la más precisa. Consiste en restaurar los archivos originales de WordPress, revisar temas y plugins, y eliminar cualquier rastro de código malicioso en la base de datos.

  • Reinstala el núcleo de WordPress
    • Descarga la última versión de WordPress desde el sitio oficial.
    • Sustituye todas las carpetas y archivos excepto wp-content y wp-config.php.
    • Verifica que no existan archivos adicionales en la raíz (por ejemplo, wp-temp.php, old-index.php, etc.).
  • Revisa y limpia la carpeta wp-content
    • Temas: elimina temas que no uses; reinstala desde el repositorio oficial o desde el ZIP original.
    • Plugins: borra plugins inactivos; reinstala los activos desde fuentes confiables.
    • Uploads: busca archivos PHP u otros ejecutables que no deberían estar ahí.
  • Comprueba archivos sensibles
    • .htaccess: restaura una versión limpia o genera una nueva desde Ajustes > Enlaces permanentes.
    • wp-config.php: verifica que no haya código extraño antes o después de la configuración habitual.
    • Archivos index.php en subcarpetas: revisa que contengan solo el código estándar.
  • Limpia la base de datos
    • Busca cadenas sospechosas como base64_decode, iframe, eval(, URLs desconocidas.
    • Revisa las tablas de opciones (wp_options) y de contenido (wp_posts).
    • Elimina entradas de plugins maliciosos o que ya no existan.

Importante: si no tienes experiencia técnica, no edites la base de datos sin una copia de seguridad reciente. Un error puede dejar tu sitio inaccesible. En caso de duda, apóyate en un profesional o en el soporte de tu hosting.

Limpieza con plugins de seguridad en WordPress

Si no quieres o no puedes hacer una limpieza totalmente manual, los plugins de seguridad pueden ayudarte a detectar y eliminar gran parte del malware. Aun así, es recomendable combinarlos con una revisión manual básica.

  • Selecciona un plugin de seguridad confiable
    • Wordfence Security.
    • Sucuri Security.
    • iThemes Security, All In One WP Security o similares.
  • Configura un escaneo completo
    • Activa el análisis profundo de archivos del núcleo, temas y plugins.
    • Permite que compare tus archivos con las versiones oficiales del repositorio.
    • Revisa los archivos marcados como modificados o sospechosos.
  • Elimina o repara archivos infectados
    • Usa la opción de reparar o restaurar archivos al estado original.
    • Si el plugin no puede limpiar un archivo, descárgalo y compáralo con una versión limpia.
  • Activa medidas de protección adicionales
    • Firewall de aplicación web (WAF) si está disponible.
    • Limitación de intentos de acceso al panel de administración.
    • Alertas por correo ante cambios críticos en archivos o inicios de sesión sospechosos.

Tip práctico: no instales varios plugins de seguridad pesados a la vez. Pueden generar conflictos y ralentizar tu web. Elige uno principal y configúralo correctamente.

Revisar servidor, hosting y configuración HTTPS

En muchos casos, el aviso de sitio peligroso en Chrome no solo se debe a archivos infectados, sino también a problemas en el servidor o en la configuración del certificado SSL. Revisar estos aspectos es esencial para una limpieza completa.

  • Comprueba el certificado SSL
    • Verifica que el certificado no esté caducado.
    • Comprueba que el dominio y subdominios estén correctamente cubiertos.
    • Usa herramientas como SSL Labs para analizar la configuración.
  • Evita el contenido mixto
    • Asegúrate de que todos los recursos (imágenes, scripts, estilos) carguen por HTTPS.
    • Actualiza URLs antiguas en la base de datos usando herramientas de búsqueda y reemplazo.
    • Configura redirecciones 301 de HTTP a HTTPS en .htaccess o en el panel del hosting.
  • Consulta con tu proveedor de hosting
    • Pide un escaneo de malware a nivel de servidor.
    • Pregunta si hay otros sitios en el mismo servidor compartido infectados.
    • Solicita ayuda para bloquear IPs maliciosas o patrones de ataque.
  • Refuerza la configuración del servidor
    • Desactiva la ejecución de PHP en carpetas como uploads, si es posible.
    • Limita permisos de archivos y carpetas (por ejemplo, 644 para archivos, 755 para directorios).
    • Activa ModSecurity u otros sistemas de protección ofrecidos por tu hosting.

Recuerda: aunque limpies WordPress, si el servidor sigue comprometido o mal configurado, el ataque puede repetirse. La seguridad debe abordarse tanto a nivel de aplicación como de infraestructura.

Cómo solicitar a Google que levante el aviso de sitio peligroso

Una vez que hayas limpiado tu WordPress y reforzado la seguridad, el siguiente paso es pedir a Google que revise de nuevo tu sitio. Si la limpieza es correcta, el aviso de sitio peligroso en Chrome desaparecerá en poco tiempo.

  • Verifica tu sitio en Google Search Console
    • Asegúrate de tener todas las variantes del dominio (con y sin www, HTTP y HTTPS).
    • Si aún no lo has hecho, completa el proceso de verificación.
  • Accede a la sección de Problemas de seguridad
    • Revisa el listado de amenazas detectadas y las URLs afectadas.
    • Confirma que has solucionado cada uno de los puntos indicados.
  • Solicita una revisión
    • Haz clic en el botón de Solicitar revisión o similar.
    • Describe brevemente qué acciones has tomado: limpieza de archivos, reinstalación de WordPress, cambio de contraseñas, etc.
    • Envía la solicitud y espera la respuesta de Google.
  • Plazos y seguimiento
    • La revisión suele tardar desde unas horas hasta varios días.
    • Si Google detecta que aún hay malware, rechazará la solicitud y te indicará qué queda por corregir.
    • Una vez aprobada, el aviso en Chrome y en los resultados de búsqueda desaparecerá progresivamente.

Consejo SEO: tras levantar el aviso, monitoriza tus posiciones y el tráfico orgánico. Es normal una caída temporal, pero si la limpieza ha sido completa, deberías recuperar visibilidad en las semanas siguientes.

Medidas de prevención para que no vuelva a ocurrir

Limpiar un WordPress marcado como peligroso en Chrome lleva tiempo y recursos. Implementar buenas prácticas de seguridad te ayudará a evitar nuevos incidentes y a proteger la reputación de tu sitio.

  • Mantén todo actualizado
    • Actualiza WordPress, temas y plugins tan pronto como haya nuevas versiones estables.
    • Elimina plugins y temas que no utilices; son una puerta de entrada innecesaria.
  • Refuerza el acceso al panel de administración
    • Usa contraseñas robustas y únicas para cada usuario.
    • Activa la autenticación en dos pasos (2FA) cuando sea posible.
    • Cambia la URL de acceso por defecto (/wp-admin) si tu plugin de seguridad lo permite.
  • Implementa un firewall y reglas de seguridad
    • Configura un firewall de aplicación web (WAF) a nivel de plugin o de hosting.
    • Limita el número de intentos de inicio de sesión y bloquea IPs maliciosas.
  • Gestiona bien los usuarios y permisos
    • Asigna el rol mínimo necesario a cada usuario (editor, autor, colaborador).
    • Revisa periódicamente la lista de usuarios y elimina los que ya no necesites.
  • Automatiza copias de seguridad
    • Programa backups automáticos diarios o semanales según la frecuencia de cambios.
    • Guarda las copias en ubicaciones externas (nube, almacenamiento remoto).
    • Prueba periódicamente la restauración para asegurarte de que las copias funcionan.

Estrategia a largo plazo: considera la seguridad como un proceso continuo, no como una acción puntual tras un hackeo. Establece rutinas mensuales de revisión y actualización para mantener tu WordPress protegido.

Errores comunes al limpiar un WordPress marcado como peligroso

Durante el proceso de limpieza es fácil cometer errores que alargan el problema o incluso lo agravan. Conocerlos de antemano te ayudará a evitarlos y a resolver el aviso de sitio peligroso en Chrome de forma más rápida y segura.

  • Confiar solo en borrar un plugin o tema
    • Muchos ataques dejan copias del malware en varias ubicaciones.
    • Eliminar el plugin vulnerable no siempre elimina el código ya inyectado.
  • No cambiar contraseñas tras la limpieza
    • Si el atacante conserva credenciales válidas, puede volver a entrar.
    • Cambia todas las contraseñas críticas al finalizar el proceso.
  • Solicitar revisión a Google demasiado pronto
    • Si aún queda malware, Google rechazará la solicitud.
    • Varias solicitudes fallidas pueden alargar los plazos de resolución.
  • Ignorar subdominios o rutas adicionales
    • Un subdominio infectado puede causar avisos para todo el dominio.
    • Revisa también instalaciones antiguas de WordPress en carpetas secundarias.
  • No revisar la base de datos
    • El malware puede estar incrustado en entradas, widgets o opciones.
    • Si solo limpias archivos, el código malicioso puede reinyectarse.

Buena práctica: documenta todo el proceso de limpieza (pasos, fechas, herramientas utilizadas). Esto te permitirá repetir el procedimiento de forma más eficiente si vuelves a tener un incidente y servirá de referencia para tu equipo o proveedor.

Checklist rápido para limpiar un WordPress infectado

Esta lista de comprobación resume los pasos clave para limpiar un WordPress que Chrome marca como sitio peligroso. Úsala como guía rápida para asegurarte de no olvidar ninguna acción importante.

  • Realizar copia de seguridad completa de archivos y base de datos.
  • Cambiar contraseñas de hosting, FTP/SSH, base de datos y usuarios admin.
  • Escanear el sitio con herramientas externas y plugins de seguridad.
  • Reinstalar el núcleo de WordPress desde una fuente oficial.
  • Reinstalar temas y plugins desde repositorios confiables.
  • Eliminar temas y plugins que no se utilicen.
  • Revisar y limpiar .htaccess, wp-config.php y archivos index.php.
  • Buscar y eliminar archivos sospechosos en wp-content y subcarpetas.
  • Analizar la base de datos en busca de código malicioso o URLs extrañas.
  • Verificar el certificado SSL y corregir contenido mixto.
  • Configurar un plugin de seguridad con firewall y alertas.
  • Solicitar revisión en Google Search Console tras la limpieza.

Uso recomendado: imprime este checklist o conviértelo en una lista de tareas en tu gestor de proyectos. Márcalo punto por punto cada vez que tengas que limpiar un WordPress afectado por avisos de seguridad.

Preguntas frecuentes

¿Cuánto tarda en desaparecer el aviso de sitio peligroso en Chrome?

Depende de la rapidez con la que limpies el sitio y solicites la revisión en Google Search Console. Una vez enviada la solicitud, la revisión suele tardar desde unas horas hasta varios días. Si Google confirma que ya no hay amenazas, el aviso desaparecerá progresivamente en Chrome y en los resultados de búsqueda.

¿Puedo perder mi posicionamiento SEO por este problema?

Un aviso de sitio peligroso puede provocar una caída temporal de tráfico y posiciones, porque los usuarios y Google desconfían de tu web. Sin embargo, si limpias correctamente, refuerzas la seguridad y solicitas la revisión cuanto antes, es posible recuperar buena parte de la visibilidad perdida en las semanas posteriores.

¿Es suficiente con instalar un plugin de seguridad para solucionar el problema?

Un plugin de seguridad ayuda mucho, pero rara vez es suficiente por sí solo. Lo ideal es combinarlo con una revisión manual de archivos críticos, limpieza de la base de datos, actualización de todo el software y cambios de contraseñas. De lo contrario, pueden quedar puertas traseras activas.

¿Necesito formatear todo el servidor para limpiar el hackeo?

En la mayoría de los casos no es necesario formatear todo el servidor. Basta con limpiar o reinstalar la instalación de WordPress afectada y revisar el resto de sitios alojados. Solo en casos extremos, o cuando el proveedor de hosting lo recomienda expresamente, puede ser conveniente una reinstalación completa del entorno.

¿Cómo saber si mi WordPress está realmente limpio?

Señales de que tu WordPress está limpio incluyen: ausencia de avisos en Google Search Console, escaneos sin detecciones en plugins de seguridad y herramientas externas, desaparición de redirecciones extrañas y comportamiento normal del servidor. Aun así, es recomendable seguir monitorizando el sitio durante varias semanas.

¿Necesitas orientación personalizada?

Te ayudamos a entender tus opciones y el siguiente paso.

Solicitar orientación
Compartir artículo:
Facebook X LinkedIn WhatsApp

Artículos relacionados

WhatsApp

¿Tienes dudas?

Te llamamos gratis

No se ha enviado el formulario

Mensaje

Tus datos están protegidos

¡Mensaje enviado!

Te contactaremos en menos de 24 horas

Usamos cookies para mejorar tu experiencia…