Quitar spam SEO y enlaces ocultos en WordPress

Servicio

Quitar spam SEO y enlaces ocultos en WordPress

16 dic., 2025 Tiempo estimado: 13 min

Índice

Qué es el spam SEO y por qué aparece

El spam SEO en WordPress es una infección orientada a posicionar contenido que no has publicado, enlazar a dominios externos sin permiso o forzar redirecciones hacia páginas de estafa, afiliación fraudulenta o descargas. A diferencia de otros malware más “ruidosos”, este suele intentar pasar desapercibido: el sitio parece funcionar, pero Google empieza a mostrar resultados raros, aparecen páginas nuevas que nadie creó, o el tráfico cae de un día para otro por una acción manual o una desindexación parcial.

Lo más habitual es que el atacante busque dos cosas. Primero, aprovechar la autoridad del dominio para posicionar keywords ajenas (farmacia, apuestas, contenido adulto, préstamos, productos falsificados). Segundo, insertar enlaces ocultos que transmiten autoridad a otras webs o que llevan al usuario a una red de páginas. En ambos casos, el daño es doble: reputacional (usuarios y clientes desconfían) y técnico (Google penaliza, baja rankings, reduce impresiones).

¿Cómo entra? En la práctica hay cuatro vías principales: credenciales robadas o débiles, plugins o temas vulnerables (especialmente desactualizados), permisos de archivos mal configurados y accesos al servidor comprometidos (FTP reutilizado, hosting con malware persistente, claves filtradas). El spam SEO también puede “vivir” en lugares inesperados: la tabla options de WordPress, campos de widgets, el contenido de entradas antiguas, plantillas del tema, mu plugins, cron jobs o incluso en reglas de servidor.

Qué ocurre en la práctica

Es frecuente ver webs que “van bien” pero, al buscar en Google site:tudominio.com, aparecen títulos y descripciones que no se corresponden con el negocio. También es típico que el cliente solo note el problema cuando recibe un aviso de Search Console o cuando un cliente le dice que al entrar desde móvil le redirige a otra página.

  • Error típico: borrar solo las páginas “raras” sin eliminar la puerta trasera. Vuelve en días.
  • Recomendación aplicable: primero aislar, después limpiar, y solo al final optimizar SEO.
  • Señal clave: el spam cambia según la IP, el idioma o si vienes desde Google.

Señales para detectar enlaces ocultos y redirecciones

Antes de tocar nada conviene confirmar si hablamos de enlaces ocultos, contenido inyectado, redirecciones o una mezcla. Hay señales claras. La más común es el contenido indexado que no existe en el panel: URLs con patrones raros, categorías que no creaste, páginas con miles de palabras que no reconoces. Otra es la presencia de snippets alterados en Google, con títulos llenos de keywords o descripciones promocionales.

Las redirecciones también delatan la infección. Puede ocurrir solo en móvil, solo en determinados navegadores, solo a usuarios no logueados o solo cuando el referer es Google. Esto es típico del spam SEO “condicional”: el atacante intenta que tú no lo veas cuando revisas, pero que el usuario real sí lo sufra. A nivel de negocio, esto es crítico porque se pierde conversión, se rompe la confianza y puede dispararse la tasa de rebote.

Otras pistas prácticas: la web empieza a enviar correos raros, el servidor consume más CPU sin explicación, aparecen usuarios administradores que nadie reconoce, o notas archivos nuevos con nombres extraños en wp-content. También es habitual ver cambios en el archivo .htaccess o en la configuración del servidor para forzar redirecciones y cloaking.

Qué ocurre en la práctica

En muchos casos, el propietario detecta el problema al buscar su marca y ver resultados con palabras como “oferta”, “casino” o “pill”. En otros, el síntoma es que campañas de Ads se rechazan por “sitio comprometido” o que el navegador muestra avisos de seguridad.

  • Error típico: asumir que es “solo SEO” y no un malware. Casi siempre hay infección real.
  • Recomendación aplicable: comprobar Search Console, logs y archivos antes de borrar nada.
  • Indicador rápido: comandos de búsqueda en Google con site: y palabras clave sospechosas.

Diagnóstico técnico sin romper la web

Un diagnóstico correcto evita dos riesgos: perder evidencia (y repetir el ataque) o romper la web por tocar sin control. La metodología segura empieza por una copia de seguridad completa, pero no como “solución” sino como punto de restauración. Idealmente se hace una copia de archivos y base de datos, se comprueba que sea recuperable y se guarda fuera del servidor.

A continuación, se revisan tres capas. La capa WordPress, que incluye usuarios, plugins, tema activo y mu plugins. La capa de servidor, que incluye redirecciones en configuración, cron, tareas programadas, permisos y logs. Y la capa SEO, que incluye Search Console, sitemaps, indexación y acciones manuales. Con estas tres vistas se puede acotar: ¿el spam está en contenido? ¿en la base de datos? ¿en archivos? ¿o en reglas de redirección?

Para detectar enlaces ocultos suele funcionar una combinación de revisión visual (ver el HTML renderizado), búsqueda por patrones (iframes ocultos, display none, posicionamiento fuera de pantalla), y búsqueda a nivel de archivos (cadenas como base64, gzinflate, eval). Para redirecciones, lo más útil es reproducir con diferentes dispositivos y rutas de acceso, además de revisar los headers y el comportamiento cuando el visitante viene desde Google.

Qué ocurre en la práctica

Un patrón típico es encontrar la web “limpia” al entrar directo, pero infectada al acceder desde un resultado de Google. Otro patrón habitual es que el administrador no vea nada porque está logueado, mientras el usuario anónimo sí recibe el spam.

  • Error típico: pasar un escáner y darlo por cerrado. Muchos no detectan cloaking.
  • Recomendación aplicable: diagnosticar primero dónde está la persistencia, luego limpiar.
  • Consejo: si el hosting está comprometido, limpiar WordPress sin asegurar el servidor no basta.

Quitar enlaces ocultos y código inyectado

La eliminación efectiva de enlaces ocultos pasa por localizar el punto de inyección. No siempre está en el editor de WordPress. A veces el enlace aparece en el footer sin estar en un widget visible, o se inserta dinámicamente cuando el visitante cumple una condición. Por eso conviene revisar el HTML final que ve el usuario y compararlo con el código del tema y los plugins.

En archivos, los puntos típicos son functions.php, archivos de plantilla, y carpetas dentro de wp-content/uploads que no deberían contener PHP. En estos casos se busca código ofuscado, llamadas a funciones peligrosas y cargas remotas de scripts. En infecciones orientadas a SEO, también se ve contenido inyectado que solo aparece a bots: bloques enormes de texto, enlaces con estilos invisibles o estructuras de datos manipuladas.

La limpieza “bien hecha” suele incluir: reemplazo de core de WordPress por una versión limpia, reinstalación controlada de plugins desde fuentes oficiales, revisión del tema (o sustitución por una copia íntegra) y eliminación de archivos sospechosos. Si hay código que no se puede atribuir a una funcionalidad legítima, se elimina y se verifica que no haya llamadas ocultas que lo reinsertan.

Checklist rápido de limpieza de enlaces ocultos

  • Revisar el HTML renderizado: enlaces con estilos invisibles, tamaño 0, offscreen.
  • Buscar inyecciones en footer, header y plantillas del tema.
  • Comprobar archivos PHP dentro de uploads y carpetas inusuales en wp-content.
  • Detectar ofuscación: base64, eval, gzinflate, strings largos sin sentido.
  • Verificar que no existan includes remotos o llamadas a dominios desconocidos.

Qué ocurre en la práctica

Es muy común encontrar el enlace oculto dentro de un archivo que “no parece importante”, como una plantilla secundaria o un archivo con nombre similar a uno legítimo. También se ve mucho la persistencia: limpias un archivo y el malware lo vuelve a escribir al día siguiente.

  • Error típico: borrar solo el enlace visible y no eliminar el mecanismo que lo genera.
  • Recomendación aplicable: eliminar puerta trasera y validar con pruebas de usuario anónimo.
  • Buenas prácticas: registrar qué archivos se han tocado para futuras auditorías.

Limpieza de base de datos: posts, opciones y usuarios

El spam SEO en WordPress no vive solo en archivos. Con frecuencia se esconde en la base de datos para persistir incluso aunque reemplaces el core. Las tablas más afectadas suelen ser wp_posts (páginas y entradas falsas), wp_postmeta (metadatos con scripts, shortcodes o redirecciones), wp_options (opciones que cargan código) y wp_users (usuarios admin añadidos).

Una limpieza segura requiere criterio. No se trata de borrar masivamente, sino de identificar patrones anómalos: entradas publicadas en horas inusuales, autores que no deberían existir, contenido con enlaces externos repetidos, shortcodes desconocidos, o campos con texto ofuscado. En wp_options, el malware se camufla en opciones de autoload para ejecutarse en cada carga, lo que explica caídas de rendimiento y reinfecciones.

En paralelo, es imprescindible revisar roles y permisos. Un atacante puede dejar un usuario administrador con un nombre aparentemente legítimo, o elevar permisos de un usuario antiguo. También puede modificar claves secretas o la configuración de envío de correo. Tras limpiar, se recomienda rotar contraseñas, invalidar sesiones y revisar integraciones externas.

Qué revisamos en base de datos (sin borrar a ciegas)

  • Entradas y páginas creadas sin editor: patrones de contenido, slugs extraños, enlaces repetidos.
  • Metadatos con scripts, iframes, shortcodes no reconocidos o redirecciones.
  • Options con autoload sospechoso y valores largos u ofuscados.
  • Usuarios nuevos, cambios de rol, correos desconocidos y tokens de sesión.
  • Tablas añadidas por malware o prefijos alternativos creados para ocultarse.

Qué ocurre en la práctica

Muchas reinfecciones vienen de la base de datos. Se limpia el tema, se reinstalan plugins y todo parece correcto, pero al cabo de 48 horas vuelven a aparecer URLs spam. En esos casos suele haber una opción autoload o un cron interno que regenera contenido.

  • Error típico: restaurar una copia “vieja” sin revisar si ya estaba infectada.
  • Recomendación aplicable: limpiar y luego comprobar que no se crean posts nuevos automáticamente.
  • Consejo: si hay usuarios admin desconocidos, asumir compromiso y rotar todas las credenciales.

Revisar plugins, tema y archivos críticos

La causa raíz muchas veces está en un plugin vulnerable, un tema nulled o un componente abandonado. Por eso, limpiar sin revisar el origen es como achicar agua sin cerrar el grifo. Aquí el objetivo es identificar qué componente permitió la entrada, y cuál mantiene la persistencia. Se revisa el listado de plugins, sus versiones, el historial de actualizaciones y cualquier plugin que no sea imprescindible.

En el tema, además de revisar archivos, interesa detectar “extras” añadidos: librerías desconocidas, includes a rutas raras, o plantillas duplicadas. En infecciones SEO es frecuente ver código que inyecta enlaces en el footer, o que genera contenido adicional en páginas concretas. También hay que comprobar los archivos críticos del entorno: wp-config.php, .htaccess, index.php en carpetas clave y cualquier archivo que cambie con frecuencia sin explicación.

Un paso que ayuda a evitar falsos positivos es comparar archivos con sus versiones oficiales. Si el core está modificado, se reemplaza. Si un plugin está alterado, se reinstala desde el repositorio oficial. Si el tema fue editado a medida, se audita con más detalle: muchas webs tienen personalizaciones legítimas, y hay que distinguirlas de la inyección maliciosa.

Qué ocurre en la práctica

Un caso muy repetido es el de un plugin “pequeño” instalado hace años, sin actualizaciones, que se mantiene por costumbre. Otra situación típica es una web migrada de hosting varias veces, con restos de instalaciones antiguas dentro del servidor.

  • Error típico: dejar plugins desactivados pero instalados. Algunos malware los usan igual.
  • Recomendación aplicable: eliminar lo que no se usa y bloquear instalación de plugins no verificados.
  • Consejo: si el sitio es WooCommerce, revisar también integraciones de pago y webhooks.

Cerrar la puerta: refuerzo y hardening WordPress

Quitar el spam SEO es la mitad del trabajo. La otra mitad es evitar que vuelva. El hardening de WordPress combina medidas de acceso, configuración y control de cambios. Lo primero es rotar credenciales: WordPress, hosting, FTP, base de datos, paneles y cualquier integración. Después, activar doble factor en usuarios administradores y limitar el número de cuentas con privilegios altos.

A nivel de archivos, se revisan permisos y propiedad para evitar escrituras indebidas. Se bloquea la ejecución de PHP en uploads cuando aplica, se limita el acceso a rutas sensibles y se protege el login contra fuerza bruta. También se recomienda desactivar la edición de archivos desde el panel y controlar la instalación de plugins solo a perfiles de confianza.

En el servidor, resulta clave asegurar versiones de PHP, reglas de firewall, WAF si está disponible y monitorización de integridad. Si el hosting ha sufrido infecciones repetidas, conviene valorar migrar a un entorno más controlado o a un servicio gestionado. Un entorno seguro no es solo “un plugin de seguridad”; es un conjunto de capas.

Medidas concretas que aplicamos tras limpiar

  • Rotación completa de contraseñas y revisión de usuarios administradores.
  • Actualización controlada de core, tema y plugins con verificación posterior.
  • Bloqueo de ejecución en uploads y revisión de permisos de escritura.
  • Protección de login: límite de intentos, 2FA, rutas sensibles reforzadas.
  • Monitorización de cambios: alertas ante modificaciones de archivos y creación de contenido anómalo.

Qué ocurre en la práctica

Muchas webs se reinfectan por no cambiar credenciales del hosting o por mantener el mismo FTP durante años. También se ve que el propietario actualiza “cuando se acuerda”, y el atacante entra por una vulnerabilidad conocida durante semanas.

  • Error típico: instalar varios plugins de seguridad a la vez. Se pisan y crean falsos bloqueos.
  • Recomendación aplicable: una estrategia clara, pocas herramientas y control de cambios.
  • Consejo: programar mantenimiento y revisiones periódicas reduce costes y sustos.

Recuperar SEO: Search Console, sitemaps y limpieza de indexación

Una vez eliminado el malware, toca recuperar la visibilidad. El primer paso es revisar Google Search Console: acciones manuales, problemas de seguridad, picos de páginas indexadas y consultas extrañas. Si hubo una acción manual por spam, es imprescindible preparar una solicitud de reconsideración con pruebas: qué se encontró, qué se eliminó y qué medidas preventivas se aplicaron.

Después se limpia la indexación. Esto incluye retirar sitemaps contaminados, generar un sitemap limpio y forzar recrawling. También se revisa robots.txt y meta robots para asegurarse de no estar bloqueando partes legítimas del sitio por una reacción apresurada. En sitios con miles de URLs spam, la estrategia debe ser ordenada: no se arregla todo en una tarde, pero sí se puede parar el daño y acelerar la recuperación.

Un punto delicado son las redirecciones. El spam SEO a menudo crea reglas que envían tráfico a otros dominios, o que hacen cloaking. Tras limpiar, se revisan redirecciones a nivel WordPress, a nivel .htaccess y a nivel de hosting. También se valida que los canonical son correctos y que no hay páginas duplicadas generadas por parámetros extraños.

Qué ocurre en la práctica

Es habitual que la web quede técnicamente limpia, pero el propietario se desespere porque Google tarda en “olvidar” URLs antiguas. La recuperación suele ser progresiva: primero se estabiliza el rastreo, luego suben impresiones y, finalmente, rankings.

  • Error típico: cambiar estructura de enlaces permanentes en plena crisis. Empeora el caos.
  • Recomendación aplicable: limpiar, estabilizar, y solo después optimizar contenidos y enlazado interno.
  • Consejo: documentar la limpieza ayuda mucho en reconsideraciones y auditorías futuras.

Monitorización y mantenimiento para que no vuelva

El spam SEO se combate con limpieza, pero se previene con rutina. La monitorización no tiene por qué ser compleja: alertas ante cambios de archivos, revisiones periódicas de usuarios administradores, control de nuevas URLs indexadas y comprobaciones de integridad. En sitios de negocio, el coste de una reinfección suele ser mayor que el coste de un mantenimiento razonable.

A nivel SEO, conviene revisar cada semana o cada dos semanas: consultas extrañas en Search Console, crecimiento anómalo de páginas, sitemaps desconocidos y errores de seguridad. A nivel técnico, revisar actualizaciones pendientes y realizar backups verificados. También es recomendable limitar el acceso de proveedores y colaboradores, y usar cuentas individuales con permisos mínimos.

Si tu web depende de leads, comercio electrónico o campañas, es especialmente importante que el plan incluya un protocolo rápido: qué se hace el primer día, qué se revisa y quién tiene acceso. Reducir el tiempo de reacción marca la diferencia entre una caída leve y un desastre de reputación.

Rutina mínima recomendada

  • Actualizaciones controladas con verificación posterior en páginas clave.
  • Backups automáticos y una verificación mensual de restauración.
  • Revisión de usuarios y roles, especialmente administradores.
  • Comprobación de indexación: nuevas URLs, títulos raros, sitemaps inesperados.
  • Alertas por cambios en archivos y por picos de consumo de recursos.

Qué ocurre en la práctica

Tras una limpieza, muchas webs “se olvidan” del mantenimiento y vuelven a acumular riesgo. Lo habitual es que la siguiente infección entre por la misma vía: plugin desactualizado o credenciales reutilizadas.

  • Error típico: actualizar todo de golpe sin comprobar compatibilidades. Se rompe y se desactiva la seguridad.
  • Recomendación aplicable: calendario de mantenimiento y control de cambios.
  • Consejo: separar entorno de pruebas cuando la web factura o capta leads a diario.

Preguntas frecuentes

¿Cuánto se tarda en quitar el spam SEO y enlaces ocultos en WordPress?

Depende de la profundidad de la infección y del tamaño del sitio. Una limpieza básica puede resolverse en horas, pero si hay cloaking, miles de URLs creadas o persistencia en base de datos, el proceso puede requerir más fases: diagnóstico, limpieza, verificación y refuerzo. Lo importante es no cerrar el caso hasta confirmar que no se regeneran páginas ni vuelven redirecciones.

¿Basta con restaurar una copia de seguridad?

A veces ayuda, pero no siempre es suficiente. Si la copia ya estaba infectada, restauras el problema. Además, aunque la copia sea limpia, si la puerta de entrada sigue abierta (plugin vulnerable, credenciales expuestas, permisos mal configurados), la reinfección puede ocurrir de nuevo. Por eso la limpieza debe ir acompañada de hardening y rotación de accesos.

¿Por qué el spam solo aparece en móvil o desde Google?

Es una técnica de cloaking. El malware detecta condiciones (user agent, idioma, referer, IP) y solo muestra el contenido spam cuando cree que eres un usuario real o un bot. Esto complica el diagnóstico si solo revisas logueado o desde el escritorio. La verificación debe incluir pruebas como usuario anónimo y diferentes rutas de entrada.

¿Se recupera el SEO después de limpiar?

En la mayoría de casos sí, pero no es instantáneo. Google necesita recrawlear, reindexar y verificar que el problema está resuelto. Si hubo acción manual, la solicitud de reconsideración acelera el proceso cuando está bien documentada. La clave es que la web quede limpia, estable, y con señales claras de seguridad y calidad.

¿Cómo puedo comprobar yo misma si quedan enlaces ocultos?

Puedes empezar por buscar en Google con site:tudominio.com y añadir palabras sospechosas, revisar Search Console, y comprobar el código fuente renderizado en varias páginas. Si ves enlaces a dominios desconocidos, textos ocultos o redirecciones, lo mejor es hacer una auditoría técnica completa, porque suele haber más de un punto de infección.

Qué ocurre en la práctica

Una duda muy común es “¿ya está?” cuando desaparecen los síntomas visibles. En realidad, lo más importante es confirmar que no existe persistencia: que no se crean páginas nuevas, que no reaparecen enlaces y que no hay usuarios admin añadidos. Esa validación final es la diferencia entre una limpieza puntual y una solución real.

  • Error típico: dar el caso por cerrado sin revisar Search Console en los días siguientes.
  • Recomendación aplicable: monitorizar una o dos semanas y mantener el hardening activo.
  • Consejo: documentar cambios y tener un plan de respuesta reduce tiempos si ocurre de nuevo.

¿Necesitas activar este servicio?

Coordinamos el proceso completo con un único interlocutor para mantener la confidencialidad.

Consulta gratuita
Compartir servicio:
Volver a Servicios

También puede interesarte

Recomendado para ti

¿Tienes dudas?

Te llamamos gratis

Revisa los siguientes campos:

Mensaje

¡Mensaje enviado!

Te contactaremos en menos de 24 horas

Usamos cookies para mejorar tu experiencia…