¿WordPress hackeado? Detectar, recuperar y prevenir

A la mayoría le sorprende descubrir que le han hackeado WordPress. Tu sitio funciona bien un día. Luego, los visitantes ven advertencias, el tráfico disminuye o notas cuentas de administrador que no reconoces. La buena noticia es que la recuperación es fácil si actúas con rapidez y sabes qué hacer.

Esta guía te muestra cómo detectar las señales de advertencia de un WordPress hackeado, contener la infección, eliminar completamente el malware y hacer que tu sitio de WordPress hackeado sea más seguro para que no vuelva a suceder. Puedes seguir cada paso, tanto si lo limpias tú mismo como si contratas a alguien para hacerlo. Empecemos.

Detectar un sitio web de WordPress hackeado a tiempo marca la diferencia entre una limpieza rápida y una reconstrucción completa del sitio. La mayoría de los ataques no se anuncian con una página de inicio alterada. En cambio, operan en silencio en segundo plano, absorbiendo tráfico o utilizando tu servidor para atacar otros sitios.

Vas a tu página de inicio y terminas en un sitio completamente diferente, que generalmente vende productos falsos o algo peor. A veces la redirección solo funciona para las personas que no están conectadas, por lo que no lo verás cuando estés conectado a tu panel de administrador. Desde un dispositivo diferente, abre tu sitio en una ventana de incógnito. Si te lleva a URL extrañas, especialmente a spam farmacéutico o sitios para adultos, esa es una clara señal de que tu sitio de WordPress ha sido hackeado.

Las ventanas emergentes que aparecen de la nada, especialmente las que no solicitaste, son una señal del mismo problema. Los hackers insertan JavaScript en tu sitio para mostrar estos anuncios y ganar dinero a expensas de tus visitantes.

Cuando Google marca tu sitio, los resultados de búsqueda dirán cosas como «Este sitio puede estar hackeado» o «Este sitio puede dañar tu computadora.» Chrome y otros navegadores incluso pueden bloquear completamente a los visitantes con una advertencia de página completa. Revisa Google Search Console. Si ves alertas de problemas de seguridad allí, significa que Google ha encontrado malware o algo que parece sospechoso.

Cuando esto sucede, tu tráfico de búsqueda desaparece de la noche a la mañana. Te llevará tiempo salir de las listas negras incluso después de haber limpiado el sitio. Cuanto antes actúes, menos daño sufrirá tu SEO.

Para ver todos tus usuarios, inicia sesión en tu panel de WordPress y ve a Usuarios – Todos los usuarios. Revisa si hay cuentas que no creaste o que no conoces, especialmente aquellas que tienen derechos de Administrador. Los hackers crean cuentas de administrador ocultas en un sitio WordPress para poder volver a acceder incluso después de que cambies las contraseñas. A menudo, estas cuentas falsas tienen nombres de usuario genéricos como «admin2» «soporte» o cadenas de caracteres aleatorios. Elimina de inmediato cualquier cuenta que no sea tuya, pero recuerda que esta es solo una señal de malware; también necesitas deshacerte del malware real.

Si tus páginas y publicaciones cambian, es una buena señal de que tu sitio de WordPress ha sido hackeado. Los hackers podrían poner enlaces ocultos en tu contenido que envían a los visitantes a páginas peligrosas, o podrían reescribir páginas enteras para dañar tu sitio o enviar un mensaje. A diferencia de las redirecciones repentinas, los cambios en el contenido a menudo pasan desapercibidos al principio porque parecen publicaciones reales.

Revisa tus publicaciones y páginas más recientes en busca de cualquier texto, enlace o formato que no hayas agregado. Mira detenidamente la parte inferior de las publicaciones antiguas, donde los hackers a menudo insertan enlaces de afiliados ocultos o redirecciones malas. Si crees que alguien ha alterado tu sitio de WordPress hackeado, revisa el historial de revisiones de tu publicación (haz clic en la publicación y luego desplázate hacia abajo hasta «Revisiones») para ver qué cambió y cuándo. Si ves cambios que no recuerdas haber hecho, es una señal de que alguien más ha estado cambiando tu contenido.

Cuando descubres que tu sitio está realmente hackeado, el tiempo es esencial para la recuperación del hackeo de WordPress. Estos primeros pasos ayudan a mantener el daño al mínimo mientras te preparas para una limpieza completa del hackeo de WordPress.

Para evitar que el público tenga acceso, activa el modo de mantenimiento. Esto evita que el malware se propague a los visitantes y detiene más daño a tu SEO. Puedes usar un plugin como WP Maintenance Mode o pedir a tu empresa de hosting que desvíe el tráfico a un sitio diferente mientras solucionas el sitio de WordPress hackeado.

Cambia las contraseñas de estas cuentas de inmediato:

1. Cuentas de administrador de WordPress (todas ellas)

2. Panel de control de hosting (cPanel, Plesk, etc.)

3. Cuentas FTP/SFTP

4. Usuario de base de datos

5. Cuentas de correo electrónico vinculadas a tu dominio

Usa un gestor de contraseñas como 1Password o Bitwarden para crear contraseñas fuertes, únicas, que tengan al menos 16 caracteres y una mezcla de letras, números y símbolos. Los hackers a menudo pueden entrar utilizando contraseñas débiles, y una vez que tienen tus credenciales, lo intentarán en todas partes.

Para ver todos tus usuarios, inicia sesión en tu panel de WordPress y haz clic en Usuarios. Busca cuentas que no creaste, especialmente aquellas que tienen derechos de Administrador. Si ves cuentas que parecen sospechosas, pasa el cursor sobre ellas y elimínalas de inmediato. Esto detiene a los hackers de mantener su acceso de puerta trasera mientras arreglas tu sitio de WordPress hackeado.

Ve a Plugins y desactiva todos los plugins. Luego, ve a Apariencia > Temas y elige un tema predeterminado de WordPress, como Twenty Twenty-Four. Esto mantiene posibles debilidades separadas mientras investigas qué extensiones pueden estar en riesgo. Para averiguar de dónde provino la infección, vuelve a activarlos uno por uno durante la limpieza del hackeo de WordPress.

Toma capturas de pantalla de cualquier error, alteraciones o actividad extraña. Escribe cuándo viste el problema por primera vez. Si tienes un plugin de seguridad, revisa los registros de actividad de tu administrador de WordPress. Esta documentación te muestra el punto de entrada y te ayuda a determinar cómo debe llevarse a cabo el proceso de recuperación de un WordPress hackeado. También te evita volver a infectarte.

A pesar de que los archivos de tu sitio estén infectados, aún puedes usar tu cliente FTP para descargar una copia de seguridad completa de tus archivos. Usa la función de exportar en phpMyAdmin para descargar tu base de datos. Pon estas copias infectadas en un lugar diferente. Pueden ayudarte a entender el ataque, pero nunca debes restaurar a partir de ellas.

Saber qué tipos de ataques son comunes puede ayudarte a evitar que vuelvan a ocurrir hackeos en WordPress. La mayoría de los hackeos no son muy complicados; son solo bots automatizados buscando agujeros conocidos en millones de sitios.

Los bots hackers de WordPress prueban miles de combinaciones diferentes de nombre de usuario/contraseña contra wp-login.php hasta que consiguen la correcta. Apuntan a nombres de usuario comunes como «admin» y utilizan listas de contraseñas filtradas de otras brechas. Las personas reutilizan contraseñas y se aferran a los valores predeterminados, lo que hace que estos ataques sean exitosos.

Muchos agujeros de seguridad de WordPress se encuentran en los plugins, no en WordPress en sí mismo. Cuando los desarrolladores encuentran un agujero de seguridad, lanzan una actualización. Pero ese mismo anuncio le dice a los hackers de WordPress exactamente qué buscar en los sitios que aún no han actualizado.

Los peores infractores son los plugins que han sido abandonados. Es probable que un plugin tenga muchas vulnerabilidades de seguridad sin corregir si no se ha actualizado en más de dos años. Las personas que modifican (crackean) plugins premium nulled (piratas) a menudo introducen puertas traseras de forma intencionada.

Los plugins mal codificados no sanitizan las consultas a la base de datos correctamente. Los hackers inyectan comandos SQL maliciosos a través de campos de formularios, parámetros de URL o cuadros de búsqueda. Si tienen éxito, pueden extraer toda tu base de datos, crear nuevos usuarios administradores o modificar el contenido de tu sitio.

WordPress moderno usa declaraciones preparadas para prevenir esto, pero los plugins de terceros podrían no seguir las mejores prácticas. Este es el motivo por el cual la calidad del código importa al elegir extensiones.

Los ataques XSS utilizan formularios de comentarios, perfiles de usuario o cualquier campo que muestre la entrada del usuario sin el filtrado adecuado para agregar JavaScript a tu sitio. Este código dañino se ejecuta en los navegadores de las personas que visitan el sitio, lo que podría robar cookies de sesión o enviarlas a sitios de phishing.

El XSS almacenado es especialmente peligroso porque el script malo se guarda en tu base de datos y afecta a todos los que ven ese contenido. El informe anual de seguridad de Wordfence para WordPress dice que el XSS fue el tipo de vulnerabilidad más común en 2024, representando alrededor de la mitad de todas las vulnerabilidades de WordPress que se hicieron públicas.

Los hackers pueden subir puertas traseras en PHP que aparentan ser imágenes cuando los formularios de carga no verifican correctamente los tipos de archivo. Un archivo con el nombre «foto.jpg.php» podría pasar los controles básicos. Después de que el atacante carga el archivo en un directorio público, lo solicita directamente y se ejecuta en su servidor, dándole control total.

La limpieza manual requiere confianza técnica, pero es el enfoque más exhaustivo.

Antes de eliminar nada, identifica todos los archivos infectados. Instala un plugin de seguridad como Wordfence Security (la versión gratuita funciona) si puedes seguir accediendo a tu panel de control. Ejecuta un escaneo completo y revisa los resultados cuidadosamente. Wordfence compara tus archivos con versiones limpias del repositorio de WordPress y señala cualquier cosa que no coincida.

Un virus de WordPress a menudo se oculta en lugares que los escaneos iniciales pasan por alto. Descarga el escáner SiteCheck gratuito de Sucuri o VirusTotal para obtener una segunda opinión. Busca cadenas codificadas en base64, funciones eval() y archivos sospechosamente nombrados en los directorios principales. Cuando termines de identificar los archivos infectados y sepas qué vas a eliminar, estarás listo para pasar a la limpieza.

Para eliminar malware de WordPress, primero conéctate a través de SFTP (FileZilla o similar). Ve a wp-content/uploads/ y busca archivos .php. En una configuración típica de WordPress, las cargas no deberían contener PHP ejecutable, así que trata cualquier archivo .php allí como sospechoso si deseas eliminar malware de WordPress. Si deseas estar seguro, descarga una copia para revisar, luego elimínalos.

A continuación, reemplaza los archivos principales de WordPress:

• Elimina por completo /wp-admin/ y /wp-includes/.

• Descarga una copia limpia de WordPress desde WordPress.org

• Sube carpetas nuevas y limpias de wp-admin/ y wp-includes/

• Sobrescribe los archivos principales del núcleo en la raíz del sitio (por ejemplo, wp-login.php, wp-load.php, wp-settings.php)

• No sobrescribas wp-config.php ni nada en wp-content/

Por último, revisa wp-config.php y .htaccess en busca de código inesperado. Elimina cualquier cosa sospechosa u ofuscada, especialmente base64_decode, eval, gzinflate o declaraciones de inclusión inusuales que no deberían estar en un archivo de configuración, para limpiar el sitio WordPress hackeado.

Una vez que hayas reemplazado los archivos comprometidos, actualiza todo a las últimas versiones de inmediato. La mayoría de los hackeos de WordPress comienzan con un plugin, tema o instalación de núcleo desactualizados. Inicia sesión en el panel de control y ve a Panel → Actualizaciones.

Si WordPress ofrece una versión más reciente, actualízala. Para refrescar tus archivos de núcleo existentes sin cambiar versiones, haz clic en Reinstalar ahora.

Actualiza los plugins de WordPress individualmente. Si no estás seguro de si aún necesitas un plugin, elimínalo por si acaso. Menos plugins significa menos superficies de ataque. Para los temas, actualiza los temas de WordPress y elimina cualquier tema inactivo. Incluso los temas desactivados pueden ser explotados si contienen vulnerabilidades.

El malware de WordPress no siempre vive en archivos. Los hackers a menudo inyectan enlaces de spam, scripts maliciosos o código directamente en la base de datos, lo que significa que tu sitio puede seguir comprometido incluso después de haber limpiado el sistema de archivos.

Comienza abriendo tu base de datos en phpMyAdmin (o en la herramienta de base de datos de tu proveedor) y exporta una copia de seguridad completa antes de hacer cualquier cambio. Luego verifica los puntos de persistencia más comunes:

• Usuarios: busca cuentas de administrador desconocidas y elimina cualquier cosa que no hayas creado tú.

• Opciones: verifica que siteurl, home y el correo electrónico de administrador sean correctos, y estate atento a los scripts inyectados o valores extraños.

• Entradas y comentarios: busca enlaces de spam, enlaces ocultos, iframes y HTML inesperado que no debería estar ahí.

Elimina entradas sospechosas con cuidado, luego vuelve a escanear tu sitio para confirmar que nada esté reapareciendo. Si la base de datos está gravemente infectada o no estás seguro de lo que es legítimo, restaurar a partir de una copia de seguridad conocida y limpia (hecha antes del hackeo) es a menudo el camino más seguro.

La limpieza por tu cuenta puede funcionar si tienes confianza técnica, pero los servicios profesionales pueden ahorrar tiempo y reducir el riesgo de que queden puertas traseras sin detectar. Muchos proveedores también ofrecen opciones de refuerzo de seguridad y monitoreo para ayudar a prevenir reinfecciones.

Considera la eliminación profesional de malware de WordPress si:

• Has limpiado el sitio tú mismo, pero la infección sigue regresando

• No tienes tiempo para manejar el trabajo técnico de forma segura

• Tu proveedor ha suspendido tu cuenta por actividad maliciosa

• Tu sitio sigue siendo marcado como inseguro después de la limpieza

• Estás preocupado por puertas traseras ocultas o acceso persistente

Los servicios de eliminación de malware de buena reputación suelen ofrecer:

• Limpieza de archivos y bases de datos, incluyendo puertas traseras que los escáneres automáticos pueden pasar por alto. Muchos servicios combinan el escaneo automático con revisión manual por parte de analistas de seguridad.

• Soporte para la eliminación de listas negras, incluyendo orientación sobre solicitudes de revisión para Google y otros servicios de seguridad.

• Investigación de la causa raíz, para identificar el punto de entrada más probable, como un plugin vulnerable, credenciales comprometidas o incorrecta configuración.

• Recomendaciones de refuerzo de seguridad, adaptadas a tu sitio y entorno de hosting.

• Garantías de limpieza, a menudo de 15 a 30 días dependiendo del proveedor y el plan. Algunos servicios limpian el sitio nuevamente sin costo adicional si se reinfecta dentro del período de garantía.

La mayoría de las veces, la eliminación profesional de malware de WordPress cuesta lo mismo que una limpieza única o un plan de seguridad mensual. Dependiendo de la gravedad de la infección y de si el servicio incluye limpieza de bases de datos, refuerzo y soporte para listas negras, las limpiezas únicas pueden costar entre $59 y $400 o más por sitio.

Dependiendo del plan, las suscripciones de seguridad mensuales pueden empezar en $10 a $20 al mes e incluir cosas como monitoreo continuo, protección de firewall y limpieza de malware. Un modelo de suscripción puede ser mejor que una solución única para sitios que manejan transacciones o datos sensibles porque se enfoca en la prevención y detección temprana, no solo en la limpieza.

Verifica qué está incluido antes de comprar. Algunos servicios cobran más por soporte de listas negras, respuesta rápida o refuerzo.

Limpiar malware resuelve el problema inmediato. El refuerzo de la seguridad de WordPress reduce la posibilidad de reinfección y hace que tu sitio sea un objetivo más difícil.

Cambia tu nombre de usuario «admin» si aún lo usas. Crea una nueva cuenta de administrador con un nombre de usuario diferente, inicia sesión con esa cuenta, elimina la antigua y asigna su contenido a la nueva.

Utiliza un plugin de seguridad o un módulo admitido para activar la autenticación de dos factores (2FA) para todas las cuentas de administrador. Además, activa la limitación de intentos de inicio de sesión para que los ataques de fuerza bruta tomen más tiempo. Establece límites razonables que no mantengan fuera a usuarios reales.

Si no utilizas XML-RPC (por ejemplo, no utilizas la aplicación móvil de WordPress o las funciones de Jetpack que lo necesitan), desactívalo en tu plugin de seguridad o a nivel de servidor web.

Utiliza permisos de archivo restrictivos para reducir lo que un atacante puede modificar. Los valores predeterminados seguros típicos son:

• Directorios: 755

• Archivos: 644

• wp-config.php: lo más estricto que tu configuración de hosting permita (a menudo 600–640)

Nunca uses permisos 777. Si tu proveedor de hosting proporciona un administrador de archivos, utilízalo para aplicar permisos con cuidado y evitar romper la configuración de propiedad/permisos.

Desactiva el editor de archivos incorporado de WordPress agregando esta línea a wp-config.php:

define('DISALLOW_FILE_EDIT', true); 

Esto elimina el editor de temas y plugins de wp-admin, lo que ayuda a limitar el daño si una cuenta de administrador se ve comprometida.

La seguridad de WordPress es continua. Crea una rutina de mantenimiento:

• Semanal: actualiza plugins/temas, revisa los usuarios administradores, ejecuta un escaneo de seguridad

• Mensual: verifica copias de seguridad y prueba restauraciones, revisa registros de seguridad, revisa las advertencias de Search Console

• Trimestral: audita plugins y elimina aquellos que no se usen, revisa permisos y configuraciones clave

Para sitios de mayor riesgo o cargas de trabajo de producción, un entorno VPS como el Contabo WordPress VPS puede proporcionar un aislamiento más fuerte que el hosting compartido y más control para el endurecimiento a nivel de servidor, como la autenticación de clave SSH, reglas de firewall y herramientas como fail2ban. Combinado con plugins de seguridad de WordPress, esto te brinda defensa práctica en profundidad.

¿Qué hacer si mi sitio de WordPress fue hackeado?

Habilita el modo de mantenimiento para reducir la exposición de los usuarios, luego cambia todas las contraseñas (admin de WordPress, panel de control de hosting, SFTP/SSH, base de datos y cualquier cuenta de correo electrónico relacionada con restablecimientos). Ejecuta un escaneo de malware, restaura desde una copia de seguridad conocida y limpia si tienes una, o sigue los pasos de limpieza en esta guía: reemplaza los archivos principales de WordPress, elimina plugins/temas comprometidos y limpia la base de datos.

¿Cómo saber si tu sitio de WordPress ha sido hackeado?

Los signos comunes incluyen advertencias del navegador o de Google Safe Browsing, redirecciones inesperadas, nuevos usuarios administradores que no creaste, archivos .php sospechosos en wp-content/uploads/, o contenido de spam inyectado. Usa un escáner externo para una verificación rápida, luego ejecuta un escáner de plugin de seguridad para un análisis más profundo de archivos e integridad.

¿Por qué mi sitio de WordPress sigue estando hackeado?

La reinfección generalmente significa que el punto de entrada original no fue corregido. Las causas comunes incluyen puertas traseras ocultas, plugins/temas desactualizados, credenciales comprometidas o una cuenta de hosting comprometida. Reinstala archivos de fuentes limpias, elimina código desconocido en wp-content, rota todas las credenciales y habilita 2FA en cuentas críticas.

¿Cuál es el mejor plugin de seguridad para WordPress?

No hay una sola opción que sea la mejor para cada sitio. Wordfence es un plugin todo en uno muy sólido con una buena versión gratuita, pero puede consumir muchos recursos y la versión gratuita tiene las actualizaciones de inteligencia de amenazas con retraso. Las opciones basadas en la nube como el WAF de Sucuri pueden bloquear ataques antes de que lleguen a WordPress y a menudo son una mejor opción para sitios de alto valor o de alto tráfico. Herramientas como MalCare son populares para flujos de trabajo automatizados de escaneo y limpieza, especialmente para propietarios de sitios sin conocimientos técnicos. Elige en función de tu nivel de riesgo, volumen de tráfico y si deseas un enfoque basado en plugins o en la nube.

Un sitio de WordPress hackeado puede parecer abrumador, pero si sigues estos pasos, puedes volver a la normalidad: encuentra la infección, limita el daño, reemplaza los archivos comprometidos, limpia la base de datos y luego refuerza tu configuración. Cuanto antes actúes, menos probable será que continúen los abusos, la exposición de datos y el daño al SEO.

Puedes volver a poner tu sitio en línea de forma segura siguiendo los pasos de esta guía: modo de mantenimiento, restableciendo contraseñas, reemplazando archivos principales, limpiando la base de datos y reforzando la seguridad. Limpiar no es el final de la seguridad. Mantén WordPress, plugins y temas actualizados. Usa contraseñas fuertes con autenticación de doble factor (2FA), ejecuta escaneos con regularidad y mantén copias de seguridad verificadas.

Finalmente, tener la configuración de hosting correcta ayuda. Un entorno aislado con sus propios recursos y controles de acceso más estrictos hace que los ataques comunes sean menos dañinos y te brinda más formas de reforzar tu servidor. Un WordPress VPS te brinda acceso raíz, aislamiento de recursos y la capacidad de personalizar tus protecciones a nivel de servidor de formas que el hosting compartido no puede. Cuando se utiliza junto con buenas prácticas de higiene en WordPress, ofrece una defensa en profundidad eficaz y reduce la probabilidad de volver a sufrir un hackeo.