Pantalla de terminal con código de acceso no autorizado representando un hackeo

Tu web de WordPress ha sido hackeada — lo que tienes que hacer en las próximas 2 horas

Entras a tu web y ves algo que no pusiste tú. O tu hosting te manda un email diciendo que ha detectado malware. O Google te pone un aviso de «sitio peligroso» que espanta a cualquiera que intente entrar.

Tu web ha sido hackeada. Aquí te explico qué hacer, en qué orden, y sin perder tiempo.


Primero: no hagas nada precipitado

El instinto es borrar todo inmediatamente. No lo hagas todavía.

Antes de tocar nada, necesitas entender qué ha pasado. Si borras los archivos infectados sin saber cómo entraron, te volverán a hackear en una semana.

Lo primero que debes hacer es poner la web en modo mantenimiento para que los visitantes no vean el contenido comprometido mientras trabajas. En WordPress puedes activarlo desde Ajustes → Generales (algunos temas lo incluyen) o con el plugin WP Maintenance Mode.

Si tu hosting ha suspendido el acceso a la web por el malware, contacta con su soporte para que te den acceso temporal al panel de archivos mientras limpias.


Cambia todas las contraseñas ahora mismo

Antes de limpiar nada, cambia:

La contraseña de WordPress. Entra al panel de administración (si todavía puedes), ve a Usuarios → Tu perfil y cambia la contraseña. Usa una contraseña larga y aleatoria: un gestor de contraseñas como Bitwarden (gratuito) te ayuda a generarla.

La contraseña del panel de hosting. El atacante puede tener acceso a tu hosting también. Cámbiala desde hPanel o el panel de tu proveedor.

Las contraseñas de la base de datos. Esto se hace desde phpMyAdmin o el panel de bases de datos de tu hosting. También actualiza las credenciales en el archivo wp-config.php de tu web.

El email de administrador de WordPress. Comprueba que nadie ha añadido una dirección de email nueva como administrador. Ve a Usuarios y elimina cualquier cuenta que no reconozcas.


Comprueba si hay administradores falsos

Una táctica habitual es añadir un usuario administrador nuevo para mantener el acceso aunque cambies las contraseñas.

Ve a Usuarios en el panel de WordPress. Si ves usuarios que no reconoces, especialmente con rol de Administrador, bórralos inmediatamente.

Si no puedes acceder al panel de WordPress porque han cambiado la contraseña del administrador, entra a phpMyAdmin desde tu hosting, accede a la tabla wp_users, localiza tu usuario y actualiza el campo user_pass con una contraseña nueva (usando el formato MD5 que acepta WordPress, o pide ayuda al soporte del hosting).


Escanea los archivos infectados

Ahora hay que encontrar el malware. Hay dos formas:

Wordfence (plugin gratuito). Si todavía tienes acceso al panel de WordPress, instala Wordfence y lanza un escaneo completo. Detecta archivos modificados, código malicioso y backdoors. Te muestra exactamente qué archivos están comprometidos.

MalCare o Sucuri (tienen versión gratuita con escaneo). Alternativas si Wordfence no detecta nada o si el malware ha bloqueado el acceso al panel.

Si tu hosting es Hostinger, también puedes acceder al escáner de malware desde hPanel. Úsalo como segundo análisis.

El escáner te dirá qué archivos tienen código sospechoso. Anota todo antes de borrar.

Pantalla de análisis de seguridad detectando malware en un sitio web
Wordfence detecta y localiza exactamente qué archivos están infectados, incluso si el malware lleva meses en el servidor.

Cómo limpiar los archivos infectados

Tienes dos opciones:

Opción 1: Restaurar desde una copia de seguridad limpia. Si tienes una copia de seguridad anterior al hackeo (por eso UpdraftPlus es imprescindible), restaura desde ahí. Es la forma más rápida y segura. Luego actualiza WordPress, temas y plugins inmediatamente.

Opción 2: Limpiar manualmente. Si no tienes copia de seguridad, tienes que limpiar archivo por archivo. Para esto:

  • Descarga una copia limpia de WordPress desde wordpress.org/download
  • Reemplaza los archivos del núcleo de WordPress (wp-admin, wp-includes) con los archivos limpios del zip descargado. No toques la carpeta wp-content ni wp-config.php
  • Para los archivos en wp-content (temas y plugins), descarga versiones limpias del repositorio oficial y reemplaza
  • Los archivos que no pertenecen a WordPress ni a ningún plugin conocido y contienen código extraño, bórralos

Si el malware está en la base de datos (spam en entradas, enlaces ocultos), tendrás que limpiar manualmente desde phpMyAdmin o contratar un servicio de limpieza profesional.


Averigua cómo entraron

Si no tapas la puerta por donde entraron, volverán.

Las causas más frecuentes de hackeo en WordPress son:

Plugin o tema desactualizado. El 90% de los hackeos entran por vulnerabilidades en plugins o temas que no se han actualizado. Comprueba si tenías plugins con actualizaciones pendientes justo antes del incidente.

Contraseña débil. Ataques de fuerza bruta prueban contraseñas comunes hasta entrar. Si tu contraseña era algo como «admin123» o el nombre de tu web, ya sabes qué pasó.

Tema o plugin de fuente no oficial. Los plugins premium descargados de sitios de terceros suelen llevar malware incluido. Solo descarga de wordpress.org o del desarrollador oficial.

Hosting comprometido. En hostings compartidos, si otra web en el mismo servidor es hackeada, puede afectar a las demás. Es menos frecuente, pero ocurre.


Tras limpiar: lo que tienes que hacer sí o sí

Una vez que la web está limpia:

Actualiza todo. WordPress, todos los plugins, todos los temas. Borra los plugins que no uses. Un plugin instalado pero no actualizado es una puerta abierta.

Activa la autenticación en dos pasos. Wordfence incluye esta función. Con 2FA, aunque alguien tenga tu contraseña, no puede entrar sin tu teléfono.

Cambia el prefijo de la base de datos. Por defecto es wp_. Cambiarlo dificulta algunos tipos de ataques. Wordfence o plugins específicos de hardening como WP Hardening pueden hacerlo de forma segura.

Configura UpdraftPlus para hacer copias automáticas semanales a Google Drive o Dropbox. Gratis. Si esto vuelve a pasar, tendrás donde recuperarte.

Revisa Google Search Console. Si Google detectó el malware, puede haberte marcado como sitio peligroso. Desde Search Console puedes solicitar una revisión tras limpiar la web.


Si la web está muy dañada o no tienes conocimientos técnicos

A veces el hackeo es tan profundo que limpiar manualmente no es viable sin conocimientos de PHP y bases de datos. En ese caso, tienes opciones:

  • El soporte de Hostinger ayuda con malware básico en algunos planes
  • Sucuri ofrece limpieza profesional (de pago, pero garantizada)
  • Si tienes copia de seguridad, restaurar es siempre más fácil que limpiar

Lo más importante es no dejar la web infectada activa más tiempo del necesario. Cada día con malware activo perjudica el posicionamiento en Google y puede infectar a los visitantes.


¿Has pasado por esto? ¿Qué causa encontraste? Los comentarios están aquí abajo.

Un hosting con buenas medidas de seguridad de base reduce el riesgo. Hostinger incluye protección DDoS, SSL automático y backups diarios en el plan Business. Si estás pensando en cambiar de hosting, lee mi review antes.

Relacionado: los plugins de seguridad que instalo en todas mis webs y cómo diagnosticar problemas técnicos en WordPress.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio