WordPress no indexa en Google tras hack cómo recupera
12 min lectura

WordPress no indexa en Google tras hack cómo recupera

Guía completa para recuperar un WordPress hackeado que no indexa en Google: limpieza, seguridad, revisión SEO y solicitud de reconsideración paso a paso.

Índice

Por qué WordPress deja de indexar tras un hack

Cuando un sitio WordPress es hackeado, Google suele reaccionar de forma rápida para proteger a los usuarios. Esa reacción puede traducirse en pérdida de visibilidad, desindexación parcial o total, avisos de seguridad en los resultados de búsqueda y, en casos graves, una penalización manual. Entender por qué ocurre es el primer paso para recuperar la indexación y la confianza del buscador.

Un hackeo no siempre es evidente: a menudo el atacante inserta código malicioso en archivos de WordPress, añade redirecciones ocultas, crea páginas spam o utiliza tu servidor para distribuir malware. Todo esto altera el comportamiento normal del sitio y genera señales negativas que los sistemas de seguridad de Google detectan.

  • Inserción de código malicioso en archivos PHP, JavaScript o plantillas.
  • Creación de páginas ocultas con contenido spam (casino, pharma, apuestas, etc.).
  • Redirecciones no autorizadas hacia sitios peligrosos o de baja calidad.
  • Modificación de robots.txt o metaetiquetas para bloquear la indexación.
  • Uso del sitio para phishing o distribución de malware.

Ante estas señales, Google puede marcar tu web como peligrosa, mostrar advertencias de seguridad, reducir drásticamente la visibilidad o dejar de indexar nuevas páginas. El objetivo de la recuperación es eliminar por completo el hack, demostrar a Google que el problema está resuelto y reconstruir poco a poco la reputación del dominio.

Consejo: antes de hacer cambios masivos, documenta el estado actual (capturas de Search Console, avisos de seguridad, mensajes de hosting). Esta información te ayudará a seguir un orden lógico y a justificar una futura solicitud de revisión a Google.

Comprobar si Google ha detectado el hack

Antes de actuar, es esencial confirmar cómo ve Google tu sitio. Puede que el hack solo afecte a algunas URLs, que exista una acción manual o que el problema sea principalmente técnico (por ejemplo, un noindex masivo). Esta fase de diagnóstico te permite priorizar tareas y evitar decisiones precipitadas.

  • Revisa Google Search Console (propiedad verificada del dominio):
    • Sección Seguridad y acciones manuales > Problemas de seguridad.
    • Sección Seguridad y acciones manuales > Acciones manuales.
    • Informe de Índice > Páginas para ver qué URLs están excluidas.
  • Busca tu dominio en Google con site:tudominio.com:
    • Comprueba si aparecen mensajes de advertencia tipo “Este sitio puede dañar tu equipo”.
    • Observa si el número de resultados es mucho menor de lo habitual.
  • Usa la herramienta de inspección de URLs en Search Console:
    • Analiza varias páginas clave (home, categorías, posts principales).
    • Comprueba si Google las ve como indexables o bloqueadas.
  • Consulta con tu proveedor de hosting:
    • Muchos hostings ejecutan escaneos de malware y pueden indicar archivos infectados.
    • Pregunta si han bloqueado el sitio o limitado recursos por seguridad.

Si Search Console muestra una advertencia de Problemas de seguridad o una acción manual, no intentes solicitar revisión todavía. Primero debes limpiar por completo el sitio, reforzar la seguridad y solo entonces pedir a Google que vuelva a evaluar tu web.

Poner la web en modo emergencia

Una vez confirmado el hack, el siguiente paso es contener el problema. El objetivo del modo emergencia es reducir el impacto en los usuarios, evitar que el ataque se propague y crear un entorno controlado para la limpieza, sin agravar la situación ante Google ni perder más datos.

  • Cambia todas las contraseñas relacionadas con el sitio:
  • Acceso al panel de WordPress (todos los usuarios con rol de administrador).
  • Panel de hosting y acceso al panel de control (cPanel, Plesk, etc.).
  • FTP/SFTP, SSH y base de datos (usuario y contraseña).
  • Cuentas de correo asociadas al dominio, si las hubiera.
  • Activa un modo mantenimiento controlado:
  • Usa un plugin de mantenimiento fiable o una página estática temporal.
  • Evita bloquear completamente a Google con un 503 prolongado sin planificación.
  • Si el hack implica malware activo, valora deshabilitar temporalmente el sitio desde el hosting.
  • Haz una copia de seguridad completa del estado actual:
  • Archivos del sitio (carpetas wp-content, wp-includes, wp-admin y raíz).
  • Base de datos completa (exportación SQL).
  • Guarda esta copia en un lugar seguro para análisis forense posterior.

Este modo emergencia no debe prolongarse más de lo necesario. La prioridad es pasar rápidamente a la fase de limpieza técnica, pero sin trabajar directamente sobre un entorno en producción totalmente abierto y vulnerable.

No restaures todavía una copia de seguridad antigua sin analizarla. Es posible que el malware lleve tiempo en el servidor y que la copia también esté comprometida. Primero identifica el alcance del ataque y luego decide qué restaurar y qué limpiar manualmente.

Limpieza técnica del WordPress hackeado

La limpieza técnica es la parte más delicada del proceso. Consiste en eliminar todo rastro de malware, puertas traseras y archivos sospechosos, asegurando que el núcleo de WordPress, los plugins y el tema activo queden en un estado limpio y verificable. Una limpieza incompleta suele derivar en reinfecciones y nuevas pérdidas de indexación.

1. Escaneo automático inicial

Comienza con herramientas automáticas que te ayuden a detectar patrones maliciosos. No sustituyen al análisis manual, pero sirven como guía.

  • Plugins de seguridad como Wordfence, Sucuri Security, iThemes Security.
  • Escáneres externos de URL (Sucuri SiteCheck, VirusTotal para URLs).
  • Herramientas de tu hosting (si ofrecen escaneo de malware integrado).

2. Reemplazar el núcleo de WordPress

El núcleo de WordPress debe considerarse comprometido si hay archivos modificados fuera de wp-content. La forma más segura de proceder es reemplazarlo por una copia limpia de la misma versión o una versión actualizada, según la compatibilidad de tu sitio.

  • Descarga WordPress desde la web oficial.
  • Elimina del servidor las carpetas wp-admin y wp-includes y los archivos raíz estándar, excepto wp-config.php y .htaccess (haz copia previa).
  • Sube los archivos limpios y verifica permisos y propietario de archivos.

3. Revisar y limpiar wp-content

La carpeta wp-content es el lugar más habitual para inyectar código malicioso, ya que contiene temas, plugins y subidas. Aquí es donde debes dedicar más tiempo al análisis.

  • Plugins:
    • Elimina plugins que no uses o que no sean de confianza.
    • Reinstala desde cero los plugins oficiales desde el repositorio.
    • Comprueba si hay carpetas o archivos que no correspondan a ningún plugin.
  • Temas:
    • Conserva solo el tema activo y uno por defecto de WordPress.
    • Reinstala el tema desde su fuente original si es posible.
    • Revisa especialmente functions.php, header.php, footer.php y archivos .php añadidos.
  • Uploads:
    • Busca archivos .php o ejecutables en la carpeta de subidas (no deberían existir).
    • Ordena por fecha para localizar archivos sospechosos recientes.

4. Limpieza de la base de datos

Muchos ataques inyectan código en la base de datos, especialmente en tablas de contenido, opciones y usuarios. Una revisión cuidadosa es imprescindible para evitar que el malware se reactive desde dentro de WordPress.

  • Revisa la tabla wp_options en busca de opciones desconocidas o URLs extrañas.
  • Analiza las tablas de posts y metas (wp_posts, wp_postmeta) para localizar contenido spam.
  • Comprueba la tabla de usuarios (wp_users) y elimina cuentas sospechosas con rol administrador.
  • Utiliza consultas de búsqueda de patrones típicos de malware (eval, base64_decode, iframes ocultos, etc.).

Si no tienes experiencia técnica, valora contratar a un especialista en seguridad WordPress. Una limpieza incompleta puede provocar que Google vuelva a detectar el hack y retrase aún más la recuperación de la indexación y del tráfico orgánico.

Revisar robots.txt y meta etiquetas noindex

Muchos ataques aprovechan la configuración de rastreo para ocultar contenido malicioso a los administradores, pero no a los buscadores, o al revés. También es frecuente que, tras un hack o una intervención de emergencia, queden reglas de bloqueo o etiquetas noindex activas que impiden que WordPress vuelva a indexar correctamente en Google.

1. Comprobar el archivo robots.txt

Accede a https://tudominio.com/robots.txt y revisa su contenido. Debes asegurarte de que no haya reglas que bloqueen todo el sitio o secciones clave.

  • Evita líneas como Disallow: / aplicadas a User-agent: *.
  • Comprueba que no se bloqueen directorios esenciales como /wp-content/uploads/ si contienen recursos necesarios.
  • Verifica que el archivo no haya sido reemplazado por uno generado por el atacante.

2. Revisar ajustes de lectura en WordPress

En el panel de administración, ve a Ajustes > Lectura y comprueba la opción “Disuadir a los motores de búsqueda de indexar este sitio”. Esta casilla debe estar desmarcada para permitir la indexación.

  • Si estaba marcada, desmárcala y guarda los cambios.
  • Algunos ataques o intervenciones de emergencia la activan para ocultar el sitio.

3. Metaetiquetas noindex y cabeceras

Utiliza la herramienta de inspección de URLs de Search Console y el código fuente del navegador para comprobar si tus páginas incluyen metaetiquetas noindex o cabeceras HTTP que impidan la indexación.

  • Busca en el código fuente <meta name="robots" content="noindex"> o variaciones.
  • Revisa la configuración de tu plugin SEO (Yoast, Rank Math, All in One SEO, etc.).
  • Comprueba que no haya reglas en .htaccess que añadan cabeceras X-Robots-Tag: noindex.

Una vez corregidos robots.txt y las etiquetas de indexación, utiliza la opción de Probar URL publicada en Search Console para confirmar que Google ve la página como indexable. Esto es clave para que el proceso de reindexación avance sin obstáculos técnicos.

Restaurar la confianza de Google

Una vez que el sitio está limpio y técnicamente preparado para ser rastreado, el siguiente objetivo es demostrar a Google que el problema se ha resuelto. Este proceso no es inmediato: depende de la gravedad del ataque, del historial del dominio y de la rapidez con la que Google vuelva a rastrear tus páginas.

1. Verificar la limpieza en Search Console

Antes de solicitar cualquier revisión, asegúrate de que las herramientas de Google ya no detectan contenido malicioso.

  • Revisa de nuevo la sección Problemas de seguridad.
  • Comprueba si han desaparecido las URLs marcadas como peligrosas.
  • Utiliza la inspección de URLs para ver la versión indexada y la versión en vivo.

2. Solicitar revisión de problemas de seguridad

Si Search Console mostraba problemas de seguridad, encontrarás un botón para solicitar una revisión. Este paso es fundamental para que Google retire las advertencias y vuelva a considerar tu sitio como seguro.

  • Describe de forma clara las acciones realizadas:
    • Cómo detectaste el hack.
    • Qué archivos y bases de datos has limpiado o restaurado.
    • Qué medidas de seguridad has implementado para evitar nuevos ataques.
  • Evita mensajes genéricos; cuanto más detallada y honesta sea la explicación, mejor.

3. Solicitar revisión de acciones manuales

Si tu sitio tiene una acción manual por spam, contenido engañoso o hackeo, deberás enviar una solicitud de reconsideración específica desde la sección de Acciones manuales.

  • Reconoce el problema y explica que ha sido consecuencia de un hack (si procede).
  • Detalla las URLs afectadas y cómo las has corregido o eliminado.
  • Incluye información sobre cambios de seguridad y monitorización futura.

El tiempo de respuesta de Google puede variar desde unos días hasta varias semanas. Durante este periodo, sigue monitorizando el sitio y el tráfico, y no realices cambios drásticos que puedan interpretarse como nuevas señales de riesgo.

Es normal que la recuperación de posiciones y tráfico sea gradual. Aunque Google retire las advertencias, el algoritmo necesita tiempo para volver a confiar en tu dominio. Mantén la web estable, segura y con contenido de calidad para acelerar este proceso.

Mejorar la seguridad para evitar nuevos hacks

Un WordPress que ha sido hackeado tiene más probabilidades de volver a ser objetivo si no se refuerza la seguridad. Desde el punto de vista SEO, una reinfección puede ser devastadora: Google podría considerar el dominio como de alto riesgo y tardar mucho más en confiar en él. Por eso, la fase de endurecimiento de la seguridad es tan importante como la limpieza inicial.

  • Actualizaciones constantes:
    • Mantén siempre actualizado el núcleo de WordPress.
    • Actualiza plugins y temas en cuanto haya nuevas versiones estables.
    • Elimina componentes abandonados o sin soporte.
  • Política de contraseñas y accesos:
    • Usa contraseñas largas y únicas para todos los accesos.
    • Activa la autenticación en dos pasos (2FA) para administradores.
    • Limita el número de usuarios con rol administrador.
  • Plugins de seguridad y firewall:
    • Instala un plugin de seguridad con firewall de aplicación web (WAF).
    • Configura alertas por correo ante intentos de acceso sospechosos.
    • Restringe el acceso al panel de administración por IP si es posible.
  • Copias de seguridad automatizadas:
    • Programa backups diarios o semanales según la actividad del sitio.
    • Guarda copias en una ubicación externa al servidor principal.
    • Realiza pruebas de restauración periódicas.
  • Endurecimiento del servidor:
    • Configura permisos de archivos y carpetas adecuados.
    • Deshabilita funciones PHP peligrosas si tu hosting lo permite.
    • Revisa periódicamente los registros (logs) de acceso y errores.

La seguridad no es un estado, sino un proceso continuo. Incluye la revisión de seguridad en tus tareas de mantenimiento mensual y documenta cada cambio. Esto no solo reduce el riesgo de nuevos hacks, sino que también te permite reaccionar más rápido si ocurre algún incidente.

Plan SEO de recuperación de tráfico

Superada la fase crítica de seguridad, llega el momento de trabajar específicamente en la recuperación SEO. Aunque el sitio vuelva a ser indexable, es probable que hayas perdido posiciones, clics y confianza. Un plan de acción estructurado te ayudará a acelerar la vuelta a la normalidad y, en muchos casos, a mejorar respecto a la situación previa al hack.

1. Auditoría de contenido y arquitectura

Revisa el contenido existente para asegurarte de que no queden restos de spam, páginas generadas por el atacante o cambios en la estructura interna de enlaces.

  • Elimina o redirige (con 301) las URLs creadas por el hack.
  • Comprueba que las categorías y etiquetas mantengan su lógica original.
  • Revisa los menús y enlaces internos para detectar redirecciones extrañas.

2. Reforzar las páginas clave

Identifica las páginas que más tráfico orgánico generaban antes del hack y prioriza su optimización.

  • Mejora títulos, meta descripciones y encabezados.
  • Actualiza el contenido con información más reciente y útil.
  • Añade enlaces internos desde otras páginas relevantes.

3. Sitemap y reenvío de URLs

Asegúrate de que tu sitemap XML refleje el estado actual del sitio y no incluya URLs hackeadas o eliminadas.

  • Regenera el sitemap desde tu plugin SEO.
  • Envíalo de nuevo en Search Console.
  • Utiliza la función de Inspeccionar URL para forzar el rastreo de páginas clave.

4. Monitorización de posiciones y tráfico

Durante las semanas posteriores, monitoriza de cerca la evolución del tráfico orgánico y de las posiciones para tus principales palabras clave.

  • Usa Search Console para analizar clics, impresiones y CTR.
  • Apóyate en herramientas de seguimiento de rankings si las tienes.
  • Detecta patrones de recuperación o estancamiento por tipo de página.

Un hack puede ser también una oportunidad para replantear tu estrategia SEO: mejorar contenidos, optimizar la experiencia de usuario y corregir errores antiguos. Aprovecha la auditoría posterior al incidente para dejar tu WordPress en mejor estado que antes.

Errores comunes al recuperar un WordPress hackeado

En situaciones de estrés es fácil tomar decisiones precipitadas que complican aún más la recuperación de la indexación en Google. Conocer los errores más habituales te ayudará a evitarlos y a seguir un proceso más ordenado y eficaz.

  • Restaurar copias de seguridad infectadas sin analizarlas previamente.
  • Solicitar revisión a Google demasiado pronto, antes de haber limpiado por completo el sitio.
  • Ignorar la base de datos y centrarse solo en los archivos.
  • Desinstalar plugins SEO sin revisar la configuración de indexación.
  • No cambiar contraseñas o dejar usuarios sospechosos activos.
  • Bloquear el rastreo con robots.txt o noindex y olvidarse de revertirlo.
  • No documentar el proceso, dificultando la explicación en la solicitud de revisión.

Si tu WordPress no indexa en Google tras un hack, céntrate primero en la seguridad, luego en la corrección técnica de indexación y, por último, en la recuperación SEO. Saltarse pasos o mezclar fases suele alargar el problema y generar frustración innecesaria.

Preguntas frecuentes

¿Cuánto tarda Google en volver a indexar un WordPress hackeado?

El tiempo de recuperación varía según la gravedad del hack y la autoridad del dominio. En casos leves, Google puede retirar las advertencias y empezar a reindexar en pocos días. En situaciones más complejas, especialmente con acciones manuales, el proceso puede alargarse varias semanas. Lo importante es que el sitio esté realmente limpio y estable antes de solicitar revisión.

¿Es mejor limpiar el sitio o reinstalar WordPress desde cero?

Depende del alcance del ataque y de tus recursos. En muchos casos, una combinación de reinstalación del núcleo de WordPress, limpieza de wp-content y revisión de la base de datos es suficiente. Si el servidor completo está comprometido o el sitio es pequeño, puede ser más eficiente migrar a una instalación nueva, importando solo contenido verificado y limpio.

¿Perderé para siempre mi posicionamiento en Google?

No necesariamente. Un hack puede provocar una caída brusca de tráfico y posiciones, pero si actúas rápido, limpias bien el sitio y refuerzas la seguridad, es posible recuperar gran parte del posicionamiento. En algunos casos, la revisión y mejora del contenido tras el incidente incluso lleva a resultados mejores que los anteriores.

¿Debo informar a mis usuarios de que mi web fue hackeada?

Si el ataque ha podido afectar a datos personales, credenciales o pagos, es recomendable informar con transparencia y, en algunos países, obligatorio por normativa. Desde el punto de vista de reputación, una comunicación clara y honesta suele ser mejor que ocultar el problema, siempre explicando las medidas tomadas para solucionarlo.

¿Puedo seguir publicando contenido mientras resuelvo el hack?

No es recomendable publicar nuevo contenido hasta tener la seguridad de que el sitio está limpio y estable. De lo contrario, corres el riesgo de que ese contenido se vea afectado por el malware o que Google lo rastree en un contexto de riesgo. Una vez resuelto el problema, sí es positivo retomar la publicación regular para acelerar la recuperación SEO.

¿Necesitas orientación personalizada?

Te ayudamos a entender tus opciones y el siguiente paso.

Solicitar orientación
Compartir artículo:
Facebook X LinkedIn WhatsApp

Artículos y servicios relacionados

WhatsApp

¿Tienes dudas?

Te llamamos gratis

No se ha enviado el formulario

Mensaje

Tus datos están protegidos

¡Mensaje enviado!

Te contactaremos en menos de 24 horas

Usamos cookies para mejorar tu experiencia…