WordPress redirige a sitios raros cómo limpiarlo
11 min lectura

WordPress redirige a sitios raros cómo limpiarlo

Guía completa para eliminar redirecciones extrañas en WordPress, limpiar malware, asegurar tu web y evitar que vuelva a infectarse.

Índice

¿Por qué WordPress redirige a sitios raros?

Cuando un sitio WordPress empieza a redirigir a páginas extrañas, anuncios invasivos o webs de spam, casi siempre es síntoma de una infección de malware o de una configuración maliciosa. El objetivo de los atacantes suele ser mostrar publicidad fraudulenta, robar datos de usuarios o aprovechar tu tráfico y autoridad SEO para sus propias campañas.

Estas redirecciones pueden activarse solo en determinadas condiciones (por ejemplo, solo a usuarios móviles, solo a visitantes que vienen desde Google o solo a usuarios no logueados), lo que hace que el problema pase desapercibido para el administrador del sitio durante días o semanas.

  • Inyección de código malicioso en archivos de WordPress (como wp-config.php, functions.php o header.php).
  • Plugins o temas vulnerables que permiten a un atacante subir archivos o modificar la base de datos.
  • Redirecciones añadidas en el archivo .htaccess o en reglas del servidor.
  • Scripts maliciosos cargados desde dominios externos mediante iframes o JavaScript.
  • Usuarios administradores falsos creados por el atacante para mantener el acceso.

Idea clave: si tu WordPress redirige a sitios raros, no es un simple fallo puntual: es muy probable que tu web esté comprometida y debas actuar con rapidez para evitar daños mayores en SEO, reputación y seguridad de tus usuarios.

Cómo detectar si tu WordPress está infectado

Antes de limpiar, necesitas confirmar el alcance del problema. No todas las infecciones se comportan igual, y algunas solo se manifiestan en determinadas circunstancias. Combinar pruebas manuales con herramientas automáticas te dará una visión más completa de lo que está ocurriendo.

  • Prueba desde distintos dispositivos y navegadores: móvil, escritorio, Chrome, Firefox, modo incógnito.
  • Accede desde diferentes redes: tu conexión habitual, datos móviles, VPN si es posible.
  • Comprueba si las redirecciones solo ocurren al venir desde Google: busca tu sitio en Google, haz clic y observa el comportamiento.
  • Revisa si solo afecta a usuarios no logueados: cierra sesión en WordPress o usa una ventana privada.

Además de las pruebas manuales, utiliza herramientas de análisis de seguridad que te ayuden a detectar archivos modificados, malware conocido o scripts sospechosos.

  • Escáneres online como Sucuri SiteCheck o VirusTotal para URLs.
  • Plugins de seguridad para WordPress que analicen archivos y base de datos.
  • Alertas de Google Search Console sobre contenido hackeado o software malicioso.

Consejo práctico: documenta todo lo que observes (cuándo ocurre la redirección, en qué páginas, desde qué dispositivos). Esta información te ayudará a localizar el origen del problema y a verificar después que la limpieza ha sido efectiva.

Primeros pasos antes de limpiar WordPress

Antes de empezar a borrar archivos o cambiar configuraciones, es fundamental preparar el entorno de trabajo. Un error precipitado puede dejar tu web inaccesible o hacer que pierdas información importante. Estos pasos iniciales reducen riesgos y te permiten volver atrás si algo sale mal.

  • Haz una copia de seguridad completa: archivos + base de datos, aunque estén infectados. Te servirá como referencia y último recurso.
  • Cambia las contraseñas críticas: acceso a hosting, FTP/SFTP, panel de control, usuarios administradores de WordPress y base de datos.
  • Activa el modo mantenimiento o restringe el acceso: para evitar que los usuarios sigan viendo redirecciones o contenido malicioso mientras trabajas.
  • Anota la fecha y hora de detección: te ayudará a identificar cambios sospechosos en archivos y registros.

Si tu proveedor de hosting ofrece herramientas de seguridad, revisa si hay informes de malware, archivos modificados o conexiones sospechosas. Algunos hostings incluyen escáneres automáticos que pueden darte pistas muy útiles.

Importante: no restaures una copia de seguridad antigua sin analizarla. Si la copia ya estaba infectada, solo estarás devolviendo el malware a tu sitio y perderás tiempo y cambios legítimos.

Limpiar redirecciones maliciosas en archivos clave

La mayoría de las redirecciones maliciosas en WordPress se implementan mediante código insertado en archivos críticos del núcleo, del tema activo o del servidor. Localizar y eliminar estas inyecciones es uno de los pasos más importantes del proceso de limpieza.

1. Revisar el archivo .htaccess

El archivo .htaccess controla muchas reglas de redirección a nivel de servidor (en Apache o LiteSpeed). Es un objetivo habitual de los atacantes porque les permite redirigir tráfico sin tocar el código de WordPress.

  • Accede por FTP/SFTP o desde el administrador de archivos del hosting.
  • Haz una copia local del archivo .htaccess antes de modificarlo.
  • Busca líneas con Redirect, RewriteRule o dominios desconocidos.
  • Compara con un .htaccess estándar de WordPress para detectar diferencias.

Reglas básicas de .htaccess de WordPress: normalmente solo deberías ver el bloque de reescritura de WordPress y, en algunos casos, reglas de caché o seguridad añadidas por plugins de confianza. Cualquier redirección a dominios extraños es sospechosa.

2. Comprobar wp-config.php y archivos del núcleo

El archivo wp-config.php contiene la configuración principal de WordPress y, en ocasiones, los atacantes insertan código al principio o al final del archivo para cargar scripts maliciosos.

  • Abre wp-config.php y busca código extraño antes de la línea <?php o al final del archivo.
  • Desconfía de funciones ofuscadas como base64_decode, eval, gzinflate, str_rot13 o cadenas muy largas de caracteres sin sentido.
  • Compara el archivo con una versión limpia de WordPress de la misma versión.

Repite este proceso con otros archivos del núcleo como wp-settings.php, wp-load.php y cualquier archivo PHP en la raíz de la instalación que no reconozcas.

3. Revisar el tema activo (header.php, footer.php, functions.php)

Los temas son un vector frecuente de infección porque permiten ejecutar código en todas las páginas del sitio. Los archivos header.php, footer.php y functions.php del tema activo son especialmente sensibles.

  • Busca scripts añadidos justo antes de </head> o </body> que carguen recursos desde dominios desconocidos.
  • Localiza bloques de PHP ofuscado o funciones que generen redirecciones condicionales.
  • Si usas un tema descargado de fuentes no oficiales, considera reemplazarlo por una copia limpia o por un tema de confianza.

Recomendación: cuando encuentres código malicioso, no borres líneas al azar. Haz una copia del archivo, elimina solo el bloque sospechoso y prueba el sitio. Si tienes dudas, compara con la versión original del tema o del núcleo.

Revisar plugins, temas y base de datos

Aunque limpies los archivos principales, las redirecciones pueden seguir activas si el malware está incrustado en plugins, temas inactivos o directamente en la base de datos. Una revisión completa debe abarcar todos estos elementos.

1. Plugins instalados

Los plugins desactualizados o descargados de sitios no oficiales son una de las causas más habituales de hackeos en WordPress. También es frecuente que el atacante suba un plugin malicioso con un nombre que imita a uno legítimo.

  • Desactiva todos los plugins temporalmente y comprueba si las redirecciones desaparecen.
  • Activa los plugins uno a uno para identificar si alguno reactiva el problema.
  • Elimina plugins que no uses o que no provengan del repositorio oficial o de desarrolladores de confianza.
  • Reinstala desde cero los plugins críticos descargando versiones limpias.

2. Temas instalados

Además del tema activo, los temas inactivos también pueden contener archivos maliciosos. Algunos atacantes los utilizan como "respaldo" para reinyectar el malware incluso después de una limpieza parcial.

  • Elimina todos los temas que no utilices, dejando solo el tema activo y, como mucho, uno o dos temas por defecto de WordPress.
  • Reinstala el tema activo desde una fuente oficial si sospechas que ha sido modificado.
  • Evita usar temas nulled (versiones pirateadas) ya que suelen venir con código malicioso integrado.

3. Base de datos: opciones y contenido inyectado

Algunas infecciones insertan redirecciones directamente en la base de datos, por ejemplo en la tabla de opciones o en el contenido de las entradas. Esto permite que el malware se ejecute aunque reemplaces los archivos del servidor.

  • Revisa la tabla wp_options (o el prefijo que uses) en busca de opciones desconocidas que contengan código JavaScript o URLs sospechosas.
  • Busca en la base de datos cadenas como <script>, iframe o dominios extraños.
  • Comprueba los campos siteurl y home para asegurarte de que apuntan a tu dominio correcto.

Precaución: editar la base de datos directamente puede romper tu sitio si borras o modificas registros críticos. Trabaja siempre con una copia de seguridad y, si no tienes experiencia, apóyate en plugins de seguridad que ofrezcan herramientas guiadas.

Limpiar WordPress con plugins de seguridad

La limpieza manual es eficaz, pero puede ser compleja y lenta, sobre todo en sitios grandes. Los plugins de seguridad especializados ayudan a automatizar parte del proceso, detectar patrones de malware conocidos y reforzar la protección después de la limpieza.

Aunque no se mencionan marcas concretas, la mayoría de soluciones serias comparten funciones similares que puedes aprovechar para eliminar redirecciones extrañas en WordPress.

  • Escaneo de archivos: compara tus archivos con versiones limpias del núcleo de WordPress y detecta cambios sospechosos.
  • Detección de malware: identifica firmas de código malicioso, puertas traseras y scripts de redirección.
  • Reparación automática: permite restaurar archivos del núcleo y, en algunos casos, limpiar código inyectado.
  • Monitorización de integridad: te avisa cuando un archivo crítico se modifica sin tu intervención.

Al usar un plugin de seguridad para limpiar tu WordPress:

  • Instálalo desde el repositorio oficial de WordPress o desde el panel de tu proveedor de seguridad.
  • Ejecuta un escaneo completo de archivos y base de datos.
  • Revisa con atención los resultados y no borres archivos críticos sin entender su función.
  • Aplica las recomendaciones de limpieza y vuelve a escanear hasta que el informe salga limpio.

Nota: ningún plugin garantiza una limpieza perfecta en todos los casos. Lo ideal es combinar la automatización de estas herramientas con una revisión manual de los puntos más sensibles de tu instalación.

Asegurar WordPress tras la limpieza

Una vez que tu sitio deja de redirigir a páginas raras y has eliminado el malware visible, el trabajo no ha terminado. Es imprescindible cerrar las puertas que permitieron la infección y reforzar la seguridad para evitar nuevas intrusiones.

  • Actualiza todo: núcleo de WordPress, temas y plugins a sus últimas versiones estables.
  • Elimina lo que no uses: plugins y temas inactivos, cuentas de usuario antiguas, herramientas obsoletas.
  • Revisa los usuarios administradores: borra cuentas que no reconozcas y reduce al mínimo los perfiles con permisos elevados.
  • Activa autenticación en dos pasos (2FA): añade una capa extra de seguridad al acceso al panel de administración.
  • Configura copias de seguridad automáticas: diarias o semanales, almacenadas fuera del servidor principal.

También es recomendable revisar los registros de acceso (logs) del servidor para identificar patrones sospechosos, como intentos masivos de login, peticiones a archivos inexistentes o accesos desde países inusuales para tu proyecto.

Objetivo: que la limpieza no sea solo un parche temporal, sino el inicio de una estrategia de seguridad continua que mantenga tu WordPress protegido a largo plazo.

Cómo evitar que WordPress vuelva a redirigir a sitios raros

Prevenir nuevas infecciones es tan importante como limpiar la actual. Muchas webs hackeadas vuelven a ser comprometidas en pocas semanas porque no se corrigen las causas de fondo. Implementar buenas prácticas de seguridad reduce drásticamente el riesgo de que tu WordPress vuelva a redirigir a sitios extraños.

  • Mantén todo actualizado: activa actualizaciones automáticas cuando sea posible y revisa periódicamente el panel de administración.
  • Usa solo plugins y temas de confianza: evita descargas de sitios no oficiales o versiones nulled.
  • Limita los accesos: utiliza contraseñas robustas, 2FA y restringe el acceso al panel de administración por IP si tu proyecto lo permite.
  • Configura un firewall de aplicaciones web (WAF): ya sea a nivel de plugin o a través de tu proveedor de hosting.
  • Monitoriza cambios en archivos: con herramientas que te avisen cuando se modifiquen archivos críticos.
  • Revisa periódicamente Search Console: para detectar avisos de seguridad, penalizaciones o contenido hackeado.

Si tu proyecto es especialmente sensible (tiendas online, membresías, sitios con datos personales), valora contar con un servicio profesional de mantenimiento y seguridad que supervise tu WordPress de forma continua.

Resumen: la mejor forma de que tu WordPress no vuelva a redirigir a sitios raros es combinar software actualizado, buenas prácticas de acceso, copias de seguridad fiables y una monitorización constante de la seguridad.

Errores comunes al limpiar un WordPress hackeado

Cuando se descubre que un WordPress redirige a sitios raros, es habitual actuar con prisas y cometer errores que complican la recuperación. Conocer estos fallos frecuentes te ayudará a evitarlos y a realizar una limpieza más efectiva y segura.

  • Borrar archivos al azar: eliminar archivos sin saber para qué sirven puede romper el sitio y no eliminar el malware de raíz.
  • Restaurar copias infectadas: usar backups antiguos sin analizarlos puede reintroducir la infección una y otra vez.
  • Ignorar la base de datos: centrarse solo en los archivos y olvidar que el malware puede estar en tablas y registros.
  • No cambiar contraseñas: si el atacante conserva credenciales válidas, podrá volver a entrar incluso después de limpiar.
  • No revisar usuarios administradores: dejar cuentas falsas activas es una puerta trasera directa al panel.
  • No comprobar desde distintos dispositivos: pensar que el problema ha desaparecido porque no se ve en tu navegador, cuando sigue activo para otros usuarios.

Otro error habitual es no comunicar el incidente a tiempo. Si tu sitio maneja datos sensibles o pagos, es recomendable informar a los usuarios afectados y, en algunos casos, cumplir con obligaciones legales de notificación.

Buena práctica: sigue un plan de acción estructurado: detectar, aislar, respaldar, limpiar, asegurar y monitorizar. Saltarse pasos por prisa suele salir caro a medio plazo.

Preguntas frecuentes

¿Por qué mi WordPress redirige solo desde Google y no cuando entro directo?

Muchos scripts maliciosos detectan el origen del tráfico y solo activan la redirección cuando el usuario llega desde buscadores como Google. Así pasan desapercibidos para el administrador, que suele acceder escribiendo la URL directamente o desde marcadores. Esto no significa que el problema sea de Google, sino de tu sitio, que ha sido comprometido.

¿Basta con cambiar la plantilla para eliminar las redirecciones raras?

Cambiar de tema puede eliminar parte del código malicioso si este estaba incrustado en los archivos del tema activo, pero no garantiza una limpieza completa. El malware puede estar también en plugins, en el núcleo de WordPress, en el archivo .htaccess o en la base de datos. Siempre debes realizar una revisión global de la instalación.

¿Puedo limpiar un WordPress hackeado sin conocimientos técnicos avanzados?

Es posible seguir una guía paso a paso y apoyarte en plugins de seguridad para limpiar muchas infecciones sencillas. Sin embargo, si tu sitio es crítico para tu negocio, si manejas datos sensibles o si la infección es compleja y se reitera, es recomendable contar con ayuda profesional para evitar errores y minimizar el tiempo de inactividad.

¿Cuánto tarda Google en quitar los avisos de sitio hackeado?

Una vez que has limpiado tu WordPress y has solicitado una revisión en Google Search Console, el tiempo de respuesta suele variar entre unas horas y varios días. Google necesita comprobar que el malware y las redirecciones han desaparecido. Mantén el sitio limpio y monitorizado durante este periodo para evitar nuevas detecciones.

¿Es mejor restaurar una copia de seguridad o limpiar manualmente?

Si dispones de una copia de seguridad reciente y confirmadamente limpia (previa a la infección), restaurarla puede ser la opción más rápida. Sin embargo, debes asegurarte de actualizar y securizar el sitio inmediatamente después para que el ataque no se repita. Si no estás seguro de que el backup esté limpio o si perderías muchos cambios importantes, es preferible realizar una limpieza manual o asistida por herramientas de seguridad.

¿Necesitas orientación personalizada?

Te ayudamos a entender tus opciones y el siguiente paso.

Solicitar orientación
Compartir artículo:
Facebook X LinkedIn WhatsApp

Artículos y servicios relacionados

WhatsApp

¿Tienes dudas?

Te llamamos gratis

No se ha enviado el formulario

Mensaje

Tus datos están protegidos

¡Mensaje enviado!

Te contactaremos en menos de 24 horas

Usamos cookies para mejorar tu experiencia…