{"id":27836,"date":"2026-01-07T10:13:00","date_gmt":"2026-01-07T09:13:00","guid":{"rendered":"https:\/\/contabo.com\/blog\/wordpress-hackeado-detectar-recuperar-y-prevenir\/"},"modified":"2026-02-20T18:57:32","modified_gmt":"2026-02-20T17:57:32","slug":"wordpress-hackeado-detectar-recuperar-y-prevenir","status":"publish","type":"post","link":"https:\/\/contabo.com\/blog\/es\/wordpress-hackeado-detectar-recuperar-y-prevenir\/","title":{"rendered":"\u00bfWordPress hackeado? Detectar, recuperar y prevenir"},"content":{"rendered":"\n
\"\u00bfWordPress<\/figure>\n\n\n\n

A la mayor\u00eda le sorprende descubrir que le han hackeado WordPress. Tu sitio funciona bien un d\u00eda. Luego, los visitantes ven advertencias, el tr\u00e1fico disminuye o notas cuentas de administrador que no reconoces. La buena noticia es que la recuperaci\u00f3n es f\u00e1cil si act\u00faas con rapidez y sabes qu\u00e9 hacer.<\/p>\n\n\n\n

Esta gu\u00eda te muestra c\u00f3mo detectar las se\u00f1ales de advertencia de un WordPress hackeado, contener la infecci\u00f3n, eliminar completamente el malware y hacer que tu sitio de WordPress hackeado sea m\u00e1s seguro para que no vuelva a suceder. Puedes seguir cada paso, tanto si lo limpias t\u00fa mismo como si contratas a alguien para hacerlo. Empecemos.<\/p>\n\n\n\n

Se\u00f1ales de que tu sitio de WordPress ha sido hackeado <\/h2><\/div>\n\n\n\n

Detectar un sitio web de WordPress hackeado a tiempo marca la diferencia entre una limpieza r\u00e1pida y una reconstrucci\u00f3n completa del sitio. La mayor\u00eda de los ataques no se anuncian con una p\u00e1gina de inicio alterada. En cambio, operan en silencio en segundo plano, absorbiendo tr\u00e1fico o utilizando tu servidor para atacar otros sitios. <\/p>\n\n\n\n

Redirecciones inesperadas y ventanas emergentes <\/h3><\/div>\n\n\n\n

Vas a tu p\u00e1gina de inicio y terminas en un sitio completamente diferente, que generalmente vende productos falsos o algo peor. A veces la redirecci\u00f3n solo funciona para las personas que no est\u00e1n conectadas, por lo que no lo ver\u00e1s cuando est\u00e9s conectado a tu panel de administrador. Desde un dispositivo diferente, abre tu sitio en una ventana de inc\u00f3gnito. Si te lleva a URL extra\u00f1as, especialmente a spam farmac\u00e9utico o sitios para adultos, esa es una clara se\u00f1al de que tu sitio de WordPress ha sido hackeado. <\/p>\n\n\n\n

Las ventanas emergentes que aparecen de la nada, especialmente las que no solicitaste, son una se\u00f1al del mismo problema. Los hackers insertan JavaScript en tu sitio para mostrar estos anuncios y ganar dinero a expensas de tus visitantes.<\/p>\n\n\n\n

Advertencias de Google Safe Browsing <\/h3><\/div>\n\n\n\n

Cuando Google marca tu sitio, los resultados de b\u00fasqueda dir\u00e1n cosas como \u00abEste sitio puede estar hackeado\u00bb o \u00abEste sitio puede da\u00f1ar tu computadora.\u00bb Chrome y otros navegadores incluso pueden bloquear completamente a los visitantes con una advertencia de p\u00e1gina completa. Revisa Google Search Console. Si ves alertas de problemas de seguridad all\u00ed, significa que Google ha encontrado malware o algo que parece sospechoso. <\/p>\n\n\n\n

Cuando esto sucede, tu tr\u00e1fico de b\u00fasqueda desaparece de la noche a la ma\u00f1ana. Te llevar\u00e1 tiempo salir de las listas negras incluso despu\u00e9s de haber limpiado el sitio. Cuanto antes act\u00faes, menos da\u00f1o sufrir\u00e1 tu SEO.<\/p>\n\n\n\n

Usuarios administradores sospechosos <\/h3><\/div>\n\n\n\n

Para ver todos tus usuarios, inicia sesi\u00f3n en tu panel de WordPress y ve a Usuarios – Todos los usuarios. Revisa si hay cuentas que no creaste o que no conoces, especialmente aquellas que tienen derechos de Administrador. Los hackers crean cuentas de administrador ocultas en un sitio WordPress para poder volver a acceder incluso despu\u00e9s de que cambies las contrase\u00f1as. A menudo, estas cuentas falsas tienen nombres de usuario gen\u00e9ricos como \u00abadmin2\u00bb \u00absoporte\u00bb o cadenas de caracteres aleatorios. Elimina de inmediato cualquier cuenta que no sea tuya, pero recuerda que esta es solo una se\u00f1al de malware; tambi\u00e9n necesitas deshacerte del malware real.<\/p>\n\n\n\n

Contenido modificado del sitio web <\/h3><\/div>\n\n\n\n

Si tus p\u00e1ginas y publicaciones cambian, es una buena se\u00f1al de que tu sitio de WordPress ha sido hackeado. Los hackers podr\u00edan poner enlaces ocultos en tu contenido que env\u00edan a los visitantes a p\u00e1ginas peligrosas, o podr\u00edan reescribir p\u00e1ginas enteras para da\u00f1ar tu sitio o enviar un mensaje. A diferencia de las redirecciones repentinas, los cambios en el contenido a menudo pasan desapercibidos al principio porque parecen publicaciones reales.<\/p>\n\n\n\n

Revisa tus publicaciones y p\u00e1ginas m\u00e1s recientes en busca de cualquier texto, enlace o formato que no hayas agregado. Mira detenidamente la parte inferior de las publicaciones antiguas, donde los hackers a menudo insertan enlaces de afiliados ocultos o redirecciones malas. Si crees que alguien ha alterado tu sitio de WordPress hackeado, revisa el historial de revisiones de tu publicaci\u00f3n (haz clic en la publicaci\u00f3n y luego despl\u00e1zate hacia abajo hasta \u00abRevisiones\u00bb) para ver qu\u00e9 cambi\u00f3 y cu\u00e1ndo. Si ves cambios que no recuerdas haber hecho, es una se\u00f1al de que alguien m\u00e1s ha estado cambiando tu contenido.<\/p>\n\n\n\n

Lista de verificaci\u00f3n de contenci\u00f3n inmediata <\/h2><\/div>\n\n\n\n

Cuando descubres que tu sitio est\u00e1 realmente hackeado, el tiempo es esencial para la recuperaci\u00f3n del hackeo de WordPress. Estos primeros pasos ayudan a mantener el da\u00f1o al m\u00ednimo mientras te preparas para una limpieza completa del hackeo de WordPress. <\/p>\n\n\n\n

Habilita el modo de mantenimiento de inmediato <\/h3><\/div>\n\n\n\n

Para evitar que el p\u00fablico tenga acceso, activa el modo de mantenimiento. Esto evita que el malware se propague a los visitantes y detiene m\u00e1s da\u00f1o a tu SEO. Puedes usar un plugin como WP Maintenance Mode o pedir a tu empresa de hosting que desv\u00ede el tr\u00e1fico a un sitio diferente mientras solucionas el sitio de WordPress hackeado. <\/p>\n\n\n\n

Cambia todas tus contrase\u00f1as <\/h3><\/div>\n\n\n\n

Cambia las contrase\u00f1as de estas cuentas de inmediato: <\/p>\n\n\n\n

    \n
  1. Cuentas de administrador de WordPress (todas ellas) <\/li>\n<\/ol>\n\n\n\n
      \n
    1. Panel de control de hosting (cPanel, Plesk, etc.) <\/li>\n<\/ol>\n\n\n\n
        \n
      1. Cuentas FTP\/SFTP <\/li>\n<\/ol>\n\n\n\n
          \n
        1. Usuario de base de datos <\/li>\n<\/ol>\n\n\n\n
            \n
          1. Cuentas de correo electr\u00f3nico vinculadas a tu dominio <\/li>\n<\/ol>\n\n\n\n

            Usa un gestor de contrase\u00f1as como 1Password o Bitwarden para crear contrase\u00f1as fuertes, \u00fanicas, que tengan al menos 16 caracteres y una mezcla de letras, n\u00fameros y s\u00edmbolos. Los hackers a menudo pueden entrar utilizando contrase\u00f1as d\u00e9biles, y una vez que tienen tus credenciales, lo intentar\u00e1n en todas partes.<\/p>\n\n\n\n

            Eliminar usuarios administradores no autorizados <\/h3><\/div>\n\n\n\n

            Para ver todos tus usuarios, inicia sesi\u00f3n en tu panel de WordPress y haz clic en Usuarios. Busca cuentas que no creaste, especialmente aquellas que tienen derechos de Administrador. Si ves cuentas que parecen sospechosas, pasa el cursor sobre ellas y elim\u00ednalas de inmediato. Esto detiene a los hackers de mantener su acceso de puerta trasera mientras arreglas tu sitio de WordPress hackeado.<\/p>\n\n\n\n

            Desactiva todos los plugins y temas <\/h3><\/div>\n\n\n\n

            Ve a Plugins y desactiva todos los plugins. Luego, ve a Apariencia > Temas y elige un tema predeterminado de WordPress, como Twenty Twenty-Four. Esto mantiene posibles debilidades separadas mientras investigas qu\u00e9 extensiones pueden estar en riesgo. Para averiguar de d\u00f3nde provino la infecci\u00f3n, vuelve a activarlos uno por uno durante la limpieza del hackeo de WordPress. <\/p>\n\n\n\n

            Documenta todo antes de comenzar <\/h3><\/div>\n\n\n\n

            Toma capturas de pantalla de cualquier error, alteraciones o actividad extra\u00f1a. Escribe cu\u00e1ndo viste el problema por primera vez. Si tienes un plugin de seguridad, revisa los registros de actividad de tu administrador de WordPress. Esta documentaci\u00f3n te muestra el punto de entrada y te ayuda a determinar c\u00f3mo debe llevarse a cabo el proceso de recuperaci\u00f3n de un WordPress hackeado. Tambi\u00e9n te evita volver a infectarte. <\/p>\n\n\n\n

            A pesar de que los archivos de tu sitio est\u00e9n infectados, a\u00fan puedes usar tu cliente FTP para descargar una copia de seguridad completa de tus archivos. Usa la funci\u00f3n de exportar en phpMyAdmin para descargar tu base de datos. Pon estas copias infectadas en un lugar diferente. Pueden ayudarte a entender el ataque, pero nunca debes restaurar a partir de ellas.<\/p>\n\n\n\n

            Por qu\u00e9 los sitios de WordPress son hackeados (tipos de ataque comunes) <\/h2><\/div>\n\n\n\n

            Saber qu\u00e9 tipos de ataques son comunes puede ayudarte a evitar que vuelvan a ocurrir hackeos en WordPress. La mayor\u00eda de los hackeos no son muy complicados; son solo bots automatizados buscando agujeros conocidos en millones de sitios. <\/p>\n\n\n\n

            Ataques de fuerza bruta al inicio de sesi\u00f3n <\/h3><\/div>\n\n\n\n

            Los bots hackers de WordPress prueban miles de combinaciones diferentes de nombre de usuario\/contrase\u00f1a contra wp-login.php hasta que consiguen la correcta. Apuntan a nombres de usuario comunes como \u00abadmin\u00bb y utilizan listas de contrase\u00f1as filtradas de otras brechas. Las personas reutilizan contrase\u00f1as y se aferran a los valores predeterminados, lo que hace que estos ataques sean exitosos. <\/p>\n\n\n\n

            Plugins y temas desactualizados <\/h3><\/div>\n\n\n\n

            Muchos agujeros de seguridad de WordPress se encuentran en los plugins, no en WordPress en s\u00ed mismo. Cuando los desarrolladores encuentran un agujero de seguridad, lanzan una actualizaci\u00f3n. Pero ese mismo anuncio le dice a los hackers de WordPress exactamente qu\u00e9 buscar en los sitios que a\u00fan no han actualizado. <\/p>\n\n\n\n

            Los peores infractores son los plugins que han sido abandonados. Es probable que un plugin tenga muchas vulnerabilidades de seguridad sin corregir si no se ha actualizado en m\u00e1s de dos a\u00f1os. Las personas que modifican (crackean) plugins premium nulled (piratas) a menudo introducen puertas traseras de forma intencionada. <\/p>\n\n\n\n

            Vulnerabilidades de inyecci\u00f3n SQL <\/h3><\/div>\n\n\n\n

            Los plugins mal codificados no sanitizan las consultas a la base de datos correctamente. Los hackers inyectan comandos SQL maliciosos a trav\u00e9s de campos de formularios, par\u00e1metros de URL o cuadros de b\u00fasqueda. Si tienen \u00e9xito, pueden extraer toda tu base de datos, crear nuevos usuarios administradores o modificar el contenido de tu sitio.<\/p>\n\n\n\n

            WordPress moderno usa declaraciones preparadas para prevenir esto, pero los plugins de terceros podr\u00edan no seguir las mejores pr\u00e1cticas. Este es el motivo por el cual la calidad del c\u00f3digo importa al elegir extensiones.<\/p>\n\n\n\n

            Cross-Site Scripting (XSS) <\/h3><\/div>\n\n\n\n

            Los ataques XSS utilizan formularios de comentarios, perfiles de usuario o cualquier campo que muestre la entrada del usuario sin el filtrado adecuado para agregar JavaScript a tu sitio. Este c\u00f3digo da\u00f1ino se ejecuta en los navegadores de las personas que visitan el sitio, lo que podr\u00eda robar cookies de sesi\u00f3n o enviarlas a sitios de phishing. <\/p>\n\n\n\n

            El XSS almacenado es especialmente peligroso porque el script malo se guarda en tu base de datos y afecta a todos los que ven ese contenido. El informe anual de seguridad de Wordfence para WordPress<\/a> dice que el XSS fue el tipo de vulnerabilidad m\u00e1s com\u00fan en 2024, representando alrededor de la mitad de todas las vulnerabilidades de WordPress que se hicieron p\u00fablicas. <\/p>\n\n\n\n

            Explotaci\u00f3n de vulnerabilidades en la carga de archivos <\/h3><\/div>\n\n\n\n

            Los hackers pueden subir puertas traseras en PHP que aparentan ser im\u00e1genes cuando los formularios de carga no verifican correctamente los tipos de archivo. Un archivo con el nombre \u00abfoto.jpg.php\u00bb podr\u00eda pasar los controles b\u00e1sicos. Despu\u00e9s de que el atacante carga el archivo en un directorio p\u00fablico, lo solicita directamente y se ejecuta en su servidor, d\u00e1ndole control total.<\/p>\n\n\n\n

            Paso a paso: c\u00f3mo limpiar un sitio de WordPress hackeado <\/h2><\/div>\n\n\n\n

            La limpieza manual requiere confianza t\u00e9cnica, pero es el enfoque m\u00e1s exhaustivo. <\/p>\n\n\n\n

            Escanear e identificar malware de WordPress <\/h3><\/div>\n\n\n\n

            Antes de eliminar nada, identifica todos los archivos infectados. Instala un plugin de seguridad como Wordfence Security (la versi\u00f3n gratuita funciona) si puedes seguir accediendo a tu panel de control. Ejecuta un escaneo completo y revisa los resultados cuidadosamente. Wordfence compara tus archivos con versiones limpias del repositorio de WordPress y se\u00f1ala cualquier cosa que no coincida.<\/p>\n\n\n\n

            Un virus de WordPress a menudo se oculta en lugares que los escaneos iniciales pasan por alto. Descarga el esc\u00e1ner SiteCheck gratuito de Sucuri o VirusTotal para obtener una segunda opini\u00f3n. Busca cadenas codificadas en base64, funciones eval() y archivos sospechosamente nombrados en los directorios principales. Cuando termines de identificar los archivos infectados y sepas qu\u00e9 vas a eliminar, estar\u00e1s listo para pasar a la limpieza.<\/p>\n\n\n\n

            Eliminar usuarios, puertas traseras y archivos maliciosos <\/h3><\/div>\n\n\n\n

            Para eliminar malware de WordPress, primero con\u00e9ctate a trav\u00e9s de SFTP (FileZilla o similar). Ve a wp-content\/uploads\/ y busca archivos .php. En una configuraci\u00f3n t\u00edpica de WordPress, las cargas no deber\u00edan contener PHP ejecutable, as\u00ed que trata cualquier archivo .php all\u00ed como sospechoso si deseas eliminar malware de WordPress. Si deseas estar seguro, descarga una copia para revisar, luego elim\u00ednalos.<\/p>\n\n\n\n

            A continuaci\u00f3n, reemplaza los archivos principales de WordPress: <\/p>\n\n\n\n