Eliminar backdoors y puertas traseras en WordPress

Servicio

Eliminar backdoors y puertas traseras en WordPress

16 dic., 2025 Tiempo estimado: 13 min

Índice

Qué es un backdoor en WordPress y por qué es tan peligroso

Un backdoor, también llamado puerta trasera, es un mecanismo oculto que permite a un atacante volver a entrar en tu WordPress incluso después de haber “limpiado” lo visible. A diferencia de un malware ruidoso que deja la web caída o llena de spam de inmediato, el backdoor suele estar diseñado para pasar desapercibido: un archivo con nombre similar a uno legítimo, una función ofuscada dentro de un plugin, una tarea programada que se reactiva, o incluso una cuenta de usuario con permisos de administrador creada de forma silenciosa.

Lo peligroso no es solo el acceso, sino la persistencia. Si la puerta trasera sigue ahí, el atacante puede reinstalar el malware cuando quiera, redirigir tráfico, robar formularios, inyectar código en el checkout de WooCommerce, crear nuevos administradores, o usar tu hosting para enviar correo no deseado. Esto suele derivar en bloqueos por parte del proveedor, alertas en navegadores, problemas de posicionamiento y, en casos delicados, exposición de datos.

Qué ocurre en la práctica

Lo más habitual es que el propietario haya pasado un escáner y haya “borrado archivos infectados”, pero a los pocos días vuelve el spam, reaparecen redirecciones o el panel muestra usuarios que nadie reconoce. En muchos casos el foco real no era un único archivo, sino una combinación: un plugin vulnerable, credenciales filtradas y un backdoor guardado en una carpeta poco revisada. La limpieza efectiva siempre corta la cadena completa, no solo el síntoma.

Por eso, cuando el objetivo es eliminar backdoors y puertas traseras en WordPress, se trabaja con un enfoque metódico: contención, auditoría, eliminación, verificación de integridad y refuerzo. Si se omite cualquiera de estas fases, el riesgo de reinfección sube mucho.

Señales típicas de puerta trasera y cómo confirmarlas

Las señales de backdoor no siempre son evidentes. Algunas son técnicas y otras se notan por comportamiento. Entre las más comunes están las redirecciones intermitentes solo en móvil o solo desde Google, la aparición de páginas extrañas indexadas, anuncios insertados en lugares aleatorios, lentitud repentina, picos de CPU, o correos saliendo desde el servidor. En WooCommerce es frecuente ver pedidos falsos, cambios en el método de pago o scripts sospechosos en páginas de pago.

En el panel de WordPress, hay tres alertas especialmente relevantes. Primera, usuarios nuevos con rol administrador que no conoces. Segunda, plugins activados que nadie recuerda haber instalado, o plugins desactivados que se reactivan solos. Tercera, cambios en el archivo de inicio o en archivos críticos que no corresponden con una actualización real. Si hay un backdoor, también es habitual encontrar modificaciones en archivos de tema como header o functions, o en el archivo de configuración, aunque el atacante suele intentar camuflarse.

Para confirmar, conviene combinar varias comprobaciones. Revisa el listado de usuarios y su fecha de alta. Examina registros del servidor si están disponibles. Compara fechas de modificación de archivos con eventos conocidos. Si usas un escáner de seguridad, interpreta los hallazgos con criterio: un archivo “sospechoso” no siempre es backdoor, pero un archivo ofuscado en una ubicación inesperada casi siempre merece atención.

Señales que suelen ser decisivas

  • Funciones ofuscadas o concatenaciones largas en PHP sin motivo funcional.
  • Archivos PHP dentro de carpetas de subidas donde solo debería haber imágenes.
  • Tareas programadas desconocidas que vuelven a aparecer tras borrarlas.
  • Accesos repetidos a rutas extrañas en logs, especialmente a archivos recién creados.

Qué ocurre en la práctica

En sitios que captan leads, lo típico es encontrar scripts de spam SEO que generan miles de URLs y dañan el tráfico orgánico. En tiendas, lo más delicado es el robo de datos de pago o la inserción de scripts de terceros. En ambos casos, el backdoor suele estar pensado para resistir limpiezas rápidas: se replica, se oculta en varios puntos o se reinyecta desde una tarea programada.

Primeras medidas de contención antes de limpiar

Antes de eliminar nada, hay que contener. La contención evita que el atacante siga operando mientras trabajas y reduce el riesgo de que la limpieza deje el sitio más inestable. La primera medida es limitar el acceso: cambia contraseñas de WordPress, hosting, FTP o SFTP, base de datos y panel de control. Si hay varios usuarios con acceso, asegura que todos actualicen credenciales, porque una contraseña filtrada invalida cualquier esfuerzo.

Después, activa un modo de mantenimiento si es posible. En tiendas, conviene hacerlo con cuidado para no romper procesos de pago, pero si hay indicios de robo de datos, la prioridad es detener la exposición. También es recomendable desactivar temporalmente la ejecución de PHP en directorios que no deberían ejecutarlo, como el directorio de subidas, siempre que no afecte a funcionalidades legítimas.

Otro paso importante es hacer copia de seguridad completa antes de limpiar. No para “restaurar y ya”, sino para poder comparar, extraer evidencias y recuperar configuraciones si algo falla. La copia debe incluir archivos y base de datos. Si tienes acceso a logs, guárdalos también. En incidentes serios, esta trazabilidad marca la diferencia entre una limpieza efectiva y un ciclo infinito de reinfecciones.

Checklist rápido de contención

  1. Cambia todas las credenciales, incluyendo cuentas de correo asociadas.
  2. Deshabilita usuarios desconocidos y fuerza cierre de sesiones.
  3. Activa mantenimiento o restringe acceso por IP si es viable.
  4. Haz copia completa y guarda logs si los tienes.
  5. Congela cambios: evita instalar, actualizar o tocar plugins sin plan.

Qué ocurre en la práctica

Un error habitual es empezar borrando archivos “raros” sin cambiar contraseñas. El resultado suele ser que, mientras se limpia, el atacante vuelve a subir el backdoor en segundos. Otro error frecuente es restaurar una copia antigua sin investigar el origen, con lo que se reintroduce el mismo vector: el plugin vulnerable o la contraseña comprometida.

Auditoría para localizar la puerta trasera sin perder evidencias

La auditoría busca responder a dos preguntas: dónde está el backdoor y cómo entró. La primera parte suele ser revisión de archivos en busca de patrones típicos: funciones ofuscadas, llamadas a eval, uso inusual de base64_decode, gzinflate, str_rot13, o concatenaciones largas para ocultar rutas. También se revisan ubicaciones donde no debería haber PHP, por ejemplo dentro de subidas o cache, y se comparan archivos del núcleo con los checksums oficiales.

Si trabajas con WP CLI, una comprobación muy útil es verificar la integridad del núcleo. Otra línea de auditoría es la base de datos: opciones con contenido extraño, tareas programadas, usuarios, claves de sesión, y entradas inyectadas en tablas relacionadas con plugins. En sitios comprometidos, también aparecen enlaces salientes invisibles o contenido oculto insertado en posts, lo que afecta SEO.

La auditoría debe ser selectiva y priorizar lo crítico. Empieza por: wp-config, mu plugins si existen, carpetas de uploads, y cualquier archivo modificado recientemente sin explicación. Revisa también el listado de plugins y temas instalados, no solo los activos. Un backdoor puede vivir en un plugin desactivado esperando que alguien lo reactive, o en un tema hijo que nadie revisa.

Puntos donde más se esconden

  • Directorio de subidas con archivos PHP camuflados.
  • Carpetas de plugins con nombres similares a plugins reales.
  • Archivos del tema con bloques de código que no corresponden.
  • Must use plugins y tareas programadas poco visibles.
  • Archivos con permisos demasiado abiertos que facilitan escritura.

Qué ocurre en la práctica

Cuando una web se reinfecta varias veces, casi siempre hay más de un punto de persistencia. A veces se limpia el backdoor principal, pero queda una tarea programada que lo recrea, o queda un usuario administrador oculto. Por eso, la auditoría completa no se limita a “pasar un antivirus”, sino a revisar también usuarios, cron, permisos y configuración del servidor.

Eliminación segura de backdoors y archivos persistentes

Eliminar un backdoor no es borrar a ciegas. Se elimina con criterio para no tumbar la web y para evitar que quede una copia activa en otro lugar. La regla general es esta: si un archivo no pertenece al núcleo, tema o plugin legítimo, o si su contenido no se corresponde con su función, debe revisarse y, si es malicioso, eliminarse o reemplazarse por una versión limpia.

Una técnica segura es reemplazar por reinstalación, no por edición manual, cuando se trata de núcleo, plugins y temas. En archivos custom, se revisa línea a línea. El foco está en cortar capacidades: ejecución remota, carga dinámica de código, accesos ocultos, y llamadas a dominios externos. También se eliminan puertas traseras en base de datos, por ejemplo opciones inyectadas, snippets guardados por plugins, o entradas de cron maliciosas.

Durante la eliminación, evita caer en dos trampas. Primera, dejar archivos “por si acaso” en cuarentena dentro del mismo hosting, porque pueden seguir siendo accesibles. Segunda, limpiar solo lo que detecta un escáner. Muchos backdoors se diseñan para no saltar alertas. La limpieza debe combinar detección automática con revisión manual y con verificación de integridad.

Secuencia recomendada de limpieza

  1. Desactiva temporalmente plugins no esenciales para reducir superficie.
  2. Elimina archivos maliciosos confirmados y reemplaza archivos críticos por versiones limpias.
  3. Revisa y elimina usuarios y tareas programadas sospechosas.
  4. Busca reinyección: vuelve a escanear y compara fechas de modificación.
  5. Comprueba que el sitio funciona y que no hay llamadas externas extrañas.

Qué ocurre en la práctica

Es frecuente que el backdoor esté duplicado en varios archivos con nombres parecidos. Se borra uno y queda otro activo, y al día siguiente el malware reaparece. Otra casuística habitual es el backdoor en una librería dentro de un plugin popular, sobre todo si el plugin no se actualiza desde hace tiempo. Por eso se recomienda sustituir por fuentes limpias y no “parchear” sobre el archivo comprometido.

Reinstalación y verificación de integridad en núcleo, temas y plugins

Tras eliminar backdoors, toca asegurar que lo que queda es íntegro. En WordPress, una parte muy efectiva es reinstalar el núcleo desde una fuente confiable y verificar checksums. Con WP CLI se puede validar si el núcleo coincide con el oficial, lo que ayuda a detectar modificaciones silenciosas. Si no usas WP CLI, al menos reinstala manualmente reemplazando carpetas del núcleo, sin tocar wp-content, y revisa que no queden archivos extraños en la raíz.

Con plugins y temas, la recomendación es parecida. Elimina y reinstala desde repositorios oficiales o desde el proveedor original. Si un plugin fue el vector, valora sustituirlo. Mantener un plugin con historial de vulnerabilidades o sin mantenimiento activo es una invitación a una nueva intrusión. En proyectos con personalizaciones, separa claramente el código custom para que no se mezcle con librerías de terceros y sea más fácil auditar.

En esta fase también se depura contenido inyectado: enlaces ocultos, shortcodes desconocidos, bloques extraños en entradas, y scripts insertados en widgets. Si la web tiene mucho contenido, se puede priorizar por páginas con tráfico y por plantillas globales. En tiendas, revisa especialmente el checkout y cualquier zona donde se capturen datos.

Buenas prácticas para no romper la web

  • Haz la reinstalación primero en staging si el proyecto lo permite.
  • Documenta plugins imprescindibles y verifica que son legítimos.
  • Revisa mu plugins y configuraciones especiales antes de tocar producción.
  • Tras reinstalar, comprueba formularios, buscador, caché y áreas privadas.

Qué ocurre en la práctica

Un caso típico es el sitio que “funciona” tras limpiar, pero queda una modificación mínima en un archivo del núcleo que reabre el acceso. Reinstalar y verificar integridad suele detectar y eliminar esa persistencia. Otro caso común es un tema premium descargado de fuentes no oficiales que trae backdoors de fábrica. Ahí no hay limpieza que valga si se mantiene el origen.

Endurecer accesos, usuarios y credenciales para cortar el reingreso

Una puerta trasera técnica no es el único camino de regreso. Muchas reinfecciones se producen porque el atacante conserva credenciales, tokens o accesos indirectos. Por eso, tras la limpieza hay que reforzar el control de acceso. Empieza por usuarios: elimina cuentas sospechosas, revisa roles, y aplica el principio de mínimo privilegio. Un editor no debería tener permisos de instalación de plugins, y un colaborador no debería tener acceso al hosting.

Después, fuerza contraseñas robustas y activa doble factor para administradores. Si hay integraciones con servicios externos, revisa claves y endpoints. También conviene regenerar claves de seguridad y salts para invalidar cookies antiguas. Si hay accesos por FTP, migra a SFTP o SSH y evita credenciales compartidas. En proyectos con varios proveedores, define responsabilidades y caduca accesos cuando termina una colaboración.

Otra capa esencial es limitar el acceso al panel y a zonas sensibles. Puedes restringir por IP en entornos corporativos o usar una capa de autenticación adicional a nivel de servidor. También es recomendable bloquear la ejecución de PHP en carpetas donde no es necesaria, y asegurar permisos de archivos y directorios para reducir la capacidad de escritura indebida.

Ajustes que suelen marcar la diferencia

  • Doble factor para administradores y cuentas con acceso técnico.
  • Rotación de contraseñas de base de datos, hosting y correos.
  • Revisión de roles y eliminación de usuarios no necesarios.
  • Regeneración de claves de seguridad para invalidar sesiones antiguas.

Qué ocurre en la práctica

A menudo se limpia el malware, pero nadie cambia el acceso al panel del hosting o la contraseña del correo desde donde se restablecen claves. Resultado: el atacante vuelve a pedir un reseteo y recupera el control. También es común encontrar cuentas “de mantenimiento” antiguas que nadie usa y que se convierten en punto de entrada perfecto.

Seguridad en servidor y configuración para bloquear reinfecciones

Si el servidor está mal configurado, WordPress puede reinfectarse aunque hayas eliminado todos los backdoors visibles. Aquí se revisan permisos, versiones de PHP, módulos, reglas de firewall y aislamiento entre sitios si hay múltiples instalaciones en el mismo hosting. En alojamientos compartidos, un sitio comprometido puede afectar a otro si comparten usuario de sistema o si las carpetas están expuestas.

Es recomendable usar un firewall de aplicaciones web, ya sea a nivel de plugin o a nivel de CDN, para filtrar patrones típicos de explotación. También conviene limitar endpoints que suelen ser atacados, aplicar rate limiting y proteger el acceso a archivos sensibles. Si existe acceso SSH, se puede monitorizar integridad y automatizar alertas de cambios en archivos críticos. Otro punto importante es desactivar funciones peligrosas en PHP cuando no se necesitan, y asegurar cabeceras y reglas básicas de endurecimiento.

Si el ataque se originó por una vulnerabilidad conocida, hay que cerrar el vector: actualizar, parchear o reemplazar el componente, y confirmar que no hay rutas alternativas abiertas. En proyectos con tráfico, una capa de caché y seguridad bien configurada no solo mejora rendimiento, también reduce superficie al filtrar peticiones automatizadas y bots maliciosos.

Revisión técnica habitual en servidor

  • Permisos correctos y propietario coherente en archivos y carpetas.
  • Aislamiento entre sitios para evitar contagio cruzado.
  • Reglas para impedir ejecución de PHP en subidas.
  • Firewall de aplicaciones y limitación de intentos de acceso.
  • Actualización de versiones y eliminación de software sin mantenimiento.

Qué ocurre en la práctica

En limpiezas recurrentes, el patrón suele ser hosting con múltiples webs, permisos demasiado laxos y un usuario de sistema compartido. Se limpia WordPress, pero el atacante deja un script en otra carpeta con escritura, y desde ahí vuelve a inyectar. Cuando se corrigen permisos, se aísla y se bloquea ejecución indebida, las reinfecciones bajan drásticamente.

Monitorización y mantenimiento proactivo después de la limpieza

La limpieza no termina cuando la web vuelve a cargar. Después, conviene monitorizar para detectar intentos de reinfección y cambios no autorizados. Esto incluye alertas por modificación de archivos, registro de accesos al panel, y supervisión de procesos o picos de recursos. También es útil revisar indexación y alertas de seguridad, porque los efectos SEO a veces tardan en manifestarse y conviene actuar pronto.

Un plan de mantenimiento sensato cubre actualizaciones, copias de seguridad verificadas y revisión periódica de plugins. No se trata de actualizar por actualizar, sino de mantener un inventario controlado y reducir componentes. Menos plugins y más calidad suele ser más seguro. Además, conviene revisar formularios y correos salientes, porque un backdoor puede haber insertado reglas o scripts que no se ven a simple vista pero afectan a la captación.

Otra medida eficaz es hacer escaneos programados y auditorías puntuales tras cambios importantes: migraciones, cambios de tema, nuevos plugins o modificaciones de servidor. Si la web es de negocio y genera leads o ventas, la seguridad debe tratarse como continuidad operativa, no como un arreglo puntual. Una buena monitorización permite detectar incidentes cuando aún son pequeños y más baratos de resolver.

Rutina recomendada

  • Actualizaciones controladas con copia previa y validación posterior.
  • Alertas de cambios en archivos críticos y en usuarios administradores.
  • Revisión mensual de plugins, temas y cuentas con acceso técnico.
  • Auditoría tras cualquier incidencia o comportamiento anómalo.

Qué ocurre en la práctica

Tras una limpieza, muchas webs pasan semanas tranquilas y luego vuelven a fallar porque se instala un plugin nuevo sin revisar o porque se reutiliza una contraseña antigua. La monitorización no es un lujo: es la forma de evitar que un incidente vuelva a convertirse en una caída, una pérdida de tráfico o una alerta de seguridad en navegadores.

Preguntas frecuentes

Si borro el archivo infectado, ya está resuelto

No necesariamente. Un backdoor puede estar duplicado o reinyectarse desde una tarea programada, un usuario oculto o un componente vulnerable. La limpieza eficaz incluye verificación de integridad, revisión de usuarios, credenciales y refuerzo del servidor.

Puedo restaurar una copia de seguridad y olvidarme

Restaurar puede funcionar si la copia es anterior al compromiso y si cierras el vector de entrada. Si no sabes cuándo entró el atacante o mantienes el plugin vulnerable o las credenciales comprometidas, es muy probable que la reinfección vuelva.

Cómo sé si el backdoor está en la base de datos

Suele notarse por opciones con contenido extraño, tareas programadas no reconocidas, usuarios creados sin control o scripts guardados por plugins. Una auditoría revisa tablas clave, busca patrones y valida que no haya persistencia escondida en configuraciones.

Cuánto tarda una limpieza completa de puertas traseras

Depende del tamaño del sitio, del número de plugins y de si hay reinfecciones previas. Un sitio sencillo puede quedar limpio en pocas horas, pero una tienda con muchas integraciones requiere más auditoría, pruebas y verificación de integridad para evitar recaídas.

Qué hago si Google muestra alertas o el hosting bloquea la web

Primero contén y limpia con verificación completa. Después, revisa indexación, elimina páginas inyectadas si las hubo y solicita reevaluación en las herramientas correspondientes si aparece advertencia de sitio inseguro. En paralelo, refuerza accesos y servidor para evitar que el problema reaparezca.

¿Necesitas activar este servicio?

Coordinamos el proceso completo con un único interlocutor para mantener la confidencialidad.

Consulta gratuita
Compartir servicio:
Volver a Servicios

También puede interesarte

Recomendado para ti

¿Tienes dudas?

Te llamamos gratis

Revisa los siguientes campos:

Mensaje

¡Mensaje enviado!

Te contactaremos en menos de 24 horas

Usamos cookies para mejorar tu experiencia…