WordPress redirige a sitios raros cómo limpiarlo

Si wordpress redirige a sitios raros, lo más habitual es que exista una infección o una modificación maliciosa en archivos, base de datos, usuarios o configuración del servidor. La forma segura de limpiarlo no consiste en borrar cosas al azar, sino en aislar la web, hacer una copia de trabajo, revisar el origen de la redirección y corregir la puerta de entrada antes de restaurar la seguridad.

Respuesta breve: una redirección extraña en WordPress suele deberse a malware, código inyectado o credenciales comprometidas. Para solucionarlo bien conviene confirmar la infección, revisar archivos y base de datos contra una copia limpia, eliminar el acceso no autorizado y endurecer la instalación para evitar la reinfección.

En muchos casos, el síntoma no aparece siempre: puede afectar solo a visitantes no logados, solo a móviles, solo a determinadas URLs o únicamente cuando se llega desde Google. Precisamente por eso conviene seguir un proceso ordenado y prudente.

¿Por qué WordPress redirige a sitios raros?

Una redirección maliciosa puede deberse a varios puntos de compromiso. No siempre se trata de un “virus” en un único archivo: a veces el problema está repartido entre código PHP, JavaScript ofuscado, opciones guardadas en base de datos, tareas programadas o reglas del servidor.

Los orígenes más comunes son estos:

• Plugin o tema vulnerable sin actualizar o descargado de fuentes no confiables.
• Credenciales filtradas de administrador, FTP, hosting o base de datos.
• Archivos del core alterados o nuevos ficheros PHP en carpetas donde no deberían estar.
• Inyección en la base de datos en opciones, widgets, contenido o ajustes de URLs.
• Reglas de servidor manipuladas en .htaccess, configuración Nginx o redirecciones a nivel de panel.
• JavaScript ofuscado cargado desde el tema, un plugin o un dominio externo.

Cuando el problema aparece de forma intermitente, el error más frecuente es darlo por resuelto tras borrar un único archivo. Si no se elimina también el acceso inicial o el segundo punto de persistencia, la web puede reinfectarse en horas o días.

Cómo confirmar si tu web está infectada antes de tocar nada

Antes de editar archivos o desactivar extensiones, conviene reunir señales objetivas. Esto ayuda a no romper la web y a distinguir entre una mala configuración de redirecciones y una infección real.

1. Prueba la web desde varios contextos. Usa móvil y escritorio, navegador normal e incógnito, y si es posible otra red. Algunas redirecciones solo se activan para ciertos dispositivos o visitantes.
2. Comprueba si el síntoma afecta al frontend, al acceso o a ambos. Si también falla /wp-admin/, el compromiso puede ser más amplio.
3. Revisa Search Console si la tienes configurada. Las páginas spam indexadas, alertas de seguridad o consultas extrañas son pistas útiles.
4. Consulta el panel del hosting. Muchos proveedores muestran archivos sospechosos, cambios recientes, cuarentenas o picos de consumo anómalos.
5. Busca usuarios administradores desconocidos. Es una de las señales más claras de acceso no autorizado.
6. Escanea la instalación. Un plugin de seguridad o la herramienta del hosting puede ayudar a localizar indicadores, pero úsalo como apoyo, no como veredicto absoluto.

Si quieres una referencia técnica oficial, la documentación de WordPress sobre seguridad y limpieza de sitios comprometidos es un buen punto de contraste para validar pasos y prioridades, y si necesitas probar cambios sin riesgo, clonar WordPress a staging para pruebas seguras encaja bien antes de intervenir.

Primeros pasos para limpiar WordPress sin empeorar el problema

La prioridad inicial no es “dejarlo bonito”, sino contener el problema, conservar evidencias mínimas de trabajo y evitar que el sitio siga infectando visitantes o empeore durante la limpieza.

1. Activa un bloqueo temporal o mantenimiento si procede. Según cómo esté alojada la web, puede ser mejor mostrar una página estática temporal, limitar el acceso por IP o usar el modo mantenimiento. Si la redirección es agresiva, esto reduce el impacto sobre usuarios reales.
2. Haz una copia completa de trabajo. Guarda archivos y base de datos antes de tocar nada. No es una copia para restaurar a producción tal cual, sino para analizar y poder deshacer cambios.
3. Cambia contraseñas críticas. Empieza por hosting, WordPress, FTP/SFTP, base de datos y correo asociado al administrador. Si hay varios usuarios con permisos elevados, actualiza todas.
4. Regenera las claves de seguridad. Actualiza las salts de WordPress en wp-config.php para invalidar sesiones activas sospechosas.
5. Anota qué cambias. Llevar un registro sencillo de archivos revisados, plugins desactivados y usuarios eliminados evita errores y facilita detectar reinfecciones.
6. No restaures una copia antigua sin revisar la causa. Si la vulnerabilidad sigue abierta, la infección puede reaparecer incluso tras una restauración aparentemente correcta.

Checklist rápida antes de editar archivos

• Copia de archivos y base de datos guardada.
• Accesos principales cambiados.
• Bloqueo temporal o mitigación activa si hay riesgo para visitantes.
• Inventario básico de plugins, tema activo y usuarios administradores.
• Acceso al panel del hosting, SFTP y phpMyAdmin o equivalente.

Qué revisar en archivos, base de datos y usuarios para eliminar redirecciones maliciosas

Para eliminar redirecciones WordPress de forma fiable, conviene revisar tres capas: archivos, base de datos y cuentas con privilegios. En muchos casos la redirección se mantiene porque se limpia solo una de ellas.

1. Archivos del core y configuración

• wp-config.php: busca includes extraños, código ofuscado, modificaciones en URLs, creación de tareas o cargas remotas.
• .htaccess: revisa redirecciones no reconocidas, reglas con dominios externos o condiciones por user-agent y referer.
• Carpetas del core: compara wp-admin y wp-includes con una copia limpia de la misma versión. No deberían contener archivos PHP ajenos a WordPress.
• index.php, header.php, footer.php y functions.php: comprueba inserciones recientes, llamadas a dominios desconocidos o bloques ofuscados con base64, gzinflate o construcciones similares.
• Mu-plugins: la carpeta wp-content/mu-plugins suele pasar desapercibida y puede cargar código aunque desactives plugins desde el panel.
• Subidas: revisa wp-content/uploads en busca de PHP, archivos con nombres aleatorios o fechas sospechosas.

2. Base de datos

La base de datos puede contener tanto el disparador de la redirección como el spam indexado. Conviene revisar con especial atención:

• Opciones siteurl y home: verifica que apuntan al dominio correcto y no han sido alteradas.
• Tabla de opciones: busca scripts, iframes, dominios desconocidos o contenido serializado sospechoso.
• Entradas, páginas y borradores: comprueba si hay inyección en contenido, shortcodes raros o enlaces ocultos.
• Widgets y constructores: algunos ataques insertan JavaScript malicioso en bloques HTML o ajustes de maquetación.
• Transients y opciones temporales: a veces el malware se apoya en datos que se regeneran, por lo que conviene revisar antes de purgar.

3. Usuarios y privilegios

• Enumera todos los administradores y valida cada cuenta.
• Revisa correos de recuperación, roles elevados inesperados y usuarios con nombres aparentemente legítimos pero desconocidos.
• Si eliminas un usuario no autorizado, reasigna bien el contenido para no perder publicaciones.
• Comprueba si hay cambios en perfiles, editores de archivos o plugins que crean accesos alternativos.

4. Cron y tareas persistentes

No olvides revisar tareas programadas. Un cron malicioso puede volver a escribir código o recrear usuarios incluso después de una limpieza parcial.

Plugins, temas y servidor: dónde suele esconderse el malware

El malware WordPress no siempre está en el archivo más visible. A menudo se oculta en componentes que cargan antes, en personalizaciones antiguas o en reglas del servidor que sobreviven a cambios dentro del panel.

Plugins y temas

• Desactiva temporalmente plugins de forma controlada si necesitas aislar el origen, pero anota el estado inicial.
• Reinstala desde fuente oficial los plugins y temas legítimos, especialmente si no tienes certeza de que los archivos actuales estén limpios.
• Elimina componentes abandonados o nulled. Son una vía de entrada muy común.
• Comprueba plantillas hijas, snippets y campos de código personalizado, donde a veces se inserta JavaScript de redirección.

Servidor y panel de hosting

• Revisa redirecciones configuradas desde el panel de hosting, dominios aparcados y subdominios olvidados.
• Verifica permisos de archivos y directorios. Permisos demasiado abiertos facilitan alteraciones.
• Consulta logs de acceso y errores si están disponibles. Pueden mostrar qué script ejecutó la carga maliciosa o desde qué IP hubo actividad anómala.
• Si tu alojamiento usa caché a nivel de servidor o CDN, vacíala tras la limpieza para evitar falsos síntomas.

Cómo asegurar WordPress después de la limpieza

Limpiar no basta. Si no se cierra la vía de entrada, las redirecciones extrañas WordPress pueden volver. El endurecimiento posterior debe ser práctico y proporcionado.

1. Actualiza WordPress, plugins y temas a versiones estables y mantenidas.
2. Elimina lo que no uses: plugins inactivos, temas sobrantes, usuarios obsoletos y archivos de instalación.
3. Activa autenticación robusta: contraseñas únicas y, si es viable, doble factor para administradores.
4. Deshabilita o limita el editor de archivos si no lo necesitas desde el panel.
5. Refuerza copias de seguridad automáticas, verificadas y externas al servidor principal.
6. Monitoriza cambios en archivos, usuarios y actividad de acceso.
7. Revisa Search Console y el índice para detectar si han quedado URLs spam o avisos pendientes.
8. Solicita revisión de seguridad en navegador o herramientas afectadas si hubo bloqueo reputacional.

Un plugin de seguridad puede ayudar con firewall, alertas o integridad de archivos, pero no sustituye una limpieza correcta ni una revisión manual cuando ya ha habido compromiso.

Cuándo conviene pedir ayuda profesional

Hay casos en los que intentar limpiar WordPress hackeado por cuenta propia puede alargar el problema. Pedir ayuda técnica suele ser razonable si ocurre alguna de estas situaciones:

• La redirección reaparece después de limpiar archivos evidentes.
• No tienes una copia limpia con la que comparar.
• Hay varias webs en el mismo hosting y sospechas contaminación cruzada.
• No distingues qué cambios son legítimos y cuáles no.
• El acceso al panel, FTP o base de datos también está comprometido.
• La web genera ingresos o leads y el tiempo de caída importa más que experimentar.

Mini FAQ útil

Cuando wordpress redirige a sitios raros, el riesgo real no es solo la molestia visual: puede afectar a usuarios, SEO, reputación y seguridad de acceso. El error más común es borrar el síntoma visible y dejar intacta la puerta de entrada o una segunda carga oculta.

El siguiente paso razonable es hacer una limpieza metódica, validar que no quedan usuarios o tareas persistentes y reforzar la instalación. Si la infección persiste, reaparece o no tienes una copia limpia para contrastar, pedir ayuda profesional suele ahorrar tiempo, caídas y una reinfección más costosa.