La seguridad web es un tema vital, especialmente cuando gestionas una página con WordPress. Esta plataforma, por ser tan popular, también se convierte en objetivo frecuente de ataques. Si tu sitio ha sido hackeado, no estás solo ni sin solución. En este artículo te explico paso a paso cómo identificar el hackeo, recuperar tu sitio, reforzarlo y prevenir futuros ataques.
⚠️ 1. Cómo saber si tu WordPress ha sido hackeado
Detectar un sitio comprometido puede variar según el tipo de ataque. Aquí algunas señales comunes:
- El sitio redirige a páginas desconocidas (phishing o spam)
- Aparecen mensajes o anuncios no autorizados
- La web está caída o muestra errores (como «Error establishing database connection»)
- Google marca tu sitio como inseguro
- Avisos de tu proveedor de hosting informándote sobre actividad sospechosa
- Usuarios reciben correos extraños procedentes de tu dominio
- Aparecen archivos nuevos o modificados sin tu consentimiento
🔍 2. Haz un escaneo de malware y archivos
Utiliza herramientas de escaneo como:
- Wordfence Security (plugin de WordPress)
- Sucuri SiteCheck (gratis desde su web)
- VirusTotal (para analizar URLs y archivos)
- Quttera o MalCare (escaneo en profundidad)
También puedes buscar manualmente archivos sospechosos en:
/wp-content/plugins//wp-content/themes/- Archivos
.phpmodificados en el root - Scripts con referencias a dominios rusos, chinos o IPs desconocidas
🔒 3. Pon tu sitio en modo mantenimiento
Evita que los visitantes accedan a contenido infectado:
- Si puedes entrar al panel, usa plugins como WP Maintenance Mode
- Si no puedes, sube una página estática
index.htmlinformando que el sitio está en mantenimiento - Avisa por tus redes o correo que estás resolviendo problemas técnicos
🧯 4. Cambia todas tus contraseñas y credenciales
Aunque aún no sepas cómo entraron, es vital cortarles el acceso inmediato:
- Acceso a WordPress (todos los usuarios)
- FTP / SFTP / SSH
- Panel de control del hosting (cPanel, Plesk…)
- Base de datos (usuario y contraseña)
- Correos electrónicos vinculados
Usa contraseñas fuertes y únicas. Puedes generar y guardar contraseñas con herramientas como LastPass, Bitwarden o 1Password.
📂 5. Haz una copia de seguridad — sí, ahora
Antes de modificar archivos o instalar herramientas, realiza un backup completo. Aunque esté infectado, es necesario:
- Archivos del sitio (temas, plugins, uploads)
- Base de datos MySQL (con phpMyAdmin o herramientas del hosting)
- Configuración actual (wp-config.php, .htaccess, etc.)
Guárdalo en una carpeta externa o en la nube: Google Drive, Dropbox o tu ordenador.
🧹 6. Elimina el malware y los archivos maliciosos
Aquí tienes dos opciones:
A. Limpieza manual
- Revisa archivos PHP sospechosos: código ofuscado, funciones
eval,base64_decode,exec,system - Borra plugins y temas que no reconozcas o estén desactualizados
- Reemplaza los archivos centrales de WordPress por una copia limpia desde wordpress.org
- Verifica
.htaccess,wp-config.phpy elimina redirecciones no autorizadas - Busca usuarios desconocidos en el panel de WordPress
B. Limpieza automática
Si no te sientes cómodo editando código:
- Sucuri: versión premium con limpieza manual incluida
- Wordfence Premium: escaneo profundo y recuperación
- MalCare: auto-limpieza rápida y alertas en tiempo real
♻️ 7. Restaura una copia de seguridad limpia (opcional)
Si tienes una copia limpia anterior al ataque:
- Reinstala todos los archivos por FTP
- Restaura la base de datos desde phpMyAdmin
- Actualiza todos los plugins y temas
- Verifica los archivos
.htaccessywp-config.php
⚠️ Asegúrate de que esa copia no tenga vulnerabilidades que causaron el hackeo.
🔐 8. Reinstala WordPress y plugins desde fuentes oficiales
Para asegurarte de que todo está libre de malware:
- Borra completamente el directorio WordPress
- Reinstala desde wordpress.org
- Instala tus plugins desde el repositorio oficial
- Reinstala los temas desde el repositorio oficial de temas
Evita descargar plugins y temas de sitios desconocidos o piratas — son una de las causas más comunes de infección.
🧮 9. Verifica la base de datos
Los atacantes pueden ocultar scripts o usuarios en la base de datos. Revisa:
- Tabla
wp_users: elimina usuarios no autorizados - Tabla
wp_options: busca URLs desconocidas en opciones comositeurl,home - Tabla
wp_posts: busca contenido con scripts externos o iframes - Tabla
wp_plugins: verifica que los plugins activos sean legítimos
Puedes usar plugins como WP-DBManager, Advanced Database Cleaner, o acceder directamente por phpMyAdmin.
🚫 10. Notifica a Google y elimina penalizaciones
Si Google ha marcado tu sitio como inseguro:
- Ve a Google Search Console
- Verifica tu propiedad (si no lo hiciste antes)
- Revisa el apartado “Problemas de seguridad”
- Solicita una “Revisión de seguridad” tras limpiar el sitio
También puedes limpiar tu historial de seguridad en plataformas como:
- Norton Safe Web
- McAfee SiteAdvisor
- Yandex Webmaster
💬 11. Contacta con tu hosting
Muchos proveedores tienen herramientas de seguridad o te pueden ayudar:
- Revisión de logs y accesos sospechosos
- Restauración de copias de seguridad anteriores
- Activación de firewalls o sistemas de protección
- Cambios de permisos, bloqueos de IPs y auditorías
Algunos hostings incluyen servicio de limpieza gratuito (SiteGround, Webempresa, Raiola Networks, etc.)
🧱 12. Fortalece la seguridad de tu WordPress
Una vez limpio, toca blindarlo:
Plugins recomendados
- Wordfence Security: firewall + escaneo + alertas
- iThemes Security: refuerzo de contraseñas, bloqueo por IP, doble factor
- WP Cerber Security: bloqueo automatizado y análisis de actividad sospechosa
- All In One WP Security: revisión de permisos, escaneo y protección
- Loginizer: limita intentos de acceso
Medidas extra
- Activar autenticación en dos pasos (2FA)
- Cambiar la URL de acceso (
/wp-admin) - Usar certificados SSL (https)
- Cambiar prefijo de tablas (
wp_→secure_) - Bloquear la edición de archivos en
wp-config.php: define(‘DISALLOW_FILE_EDIT’, true);