¿Cómo sé si me han hackeado?
A veces el hackeo es obvio: la web muestra contenido en otro idioma, una página de "Hacked by [nombre]" o publicidad de productos que no vendes. Pero muchos ataques son silenciosos y están diseñados precisamente para que no los detectes durante el mayor tiempo posible.
Señales que indican que tu WordPress ha podido ser comprometido:
- La web muestra contenido extraño — texto en japonés, chino o árabe en el resultado de búsqueda de Google (SEO spam), o páginas de casino y farmacia en tu sitio
- Google la marca como peligrosa — aparece el aviso "Este sitio puede dañar tu equipo" en los resultados de búsqueda o "Sitio engañoso" al entrar
- El hosting ha suspendido la cuenta — muchos hostings detectan malware automáticamente y suspenden la web para proteger a otros clientes del servidor
- Tus clientes reciben emails de spam desde tu dominio — el servidor está siendo usado para enviar correos masivos
- Google Search Console avisa de páginas comprometidas — la sección de Seguridad y Acciones manuales muestra alertas
- El panel de WordPress no carga o aparecen usuarios desconocidos — han creado cuentas de administrador que no reconoces
Lo primero que debes hacer en las próximas 2 horas
La velocidad importa. Cada hora que pasa, el hackeo puede empeorar: más spam enviado, más páginas infectadas, más daño a tu reputación en Google. Actúa en este orden:
- Pon la web en modo mantenimiento o desconéctala temporalmente — evita que los visitantes reciban el contenido malicioso mientras trabajas en la recuperación
- Cambia todas las contraseñas inmediatamente — WordPress (todos los usuarios administradores), panel de hosting, acceso FTP y contraseña de la base de datos. Usa contraseñas de al menos 20 caracteres generadas automáticamente
- Contacta con tu hosting — infórmales de que has detectado un compromiso. La mayoría tienen protocolos específicos y pueden ayudarte a identificar el vector de ataque y los archivos afectados
- Haz una copia del estado actual — aunque esté infectada. Esta copia sirve para el análisis forense: identificar cómo entraron y qué modificaron
- Comunica a Google a través de Search Console — si Google ya ha detectado el problema, hay un proceso para solicitar una revisión una vez que la web esté limpia. Cuanto antes empieces, antes se elimina el aviso de sitio peligroso
Las causas más habituales de un hackeo WordPress
Los ataques a WordPress raramente son ataques dirigidos a un negocio concreto. Son ataques automatizados que escanean millones de webs buscando vulnerabilidades conocidas. Las causas más frecuentes son:
- Plugins desactualizados — cada actualización de un plugin suele incluir parches de seguridad. Un plugin con 6 meses sin actualizar puede tener vulnerabilidades públicamente documentadas que los bots explotan de forma automática
- Temas nulled (pirateados) — los temas premium descargados de fuentes no oficiales casi siempre incluyen backdoors o malware incrustado de serie
- Contraseñas débiles o reutilizadas — "admin" + "123456" sigue siendo la combinación más atacada
- Sin autenticación de dos factores — si alguien consigue tu contraseña (por una filtración en otro servicio que usas), puede entrar sin ningún obstáculo adicional
- Hosting de baja calidad — algunos hostings baratos tienen configuraciones del servidor que facilitan que un ataque en una web del servidor contamine a otras
- Sin firewall de aplicación web — sin un WAF activo, todas las peticiones llegan directamente a WordPress sin filtrado previo
Cómo limpiar una web WordPress hackeada
Hay tres aproximaciones, de menor a mayor fiabilidad:
Usar plugins de seguridad (Wordfence, MalCare, Sucuri) para escanear y limpiar automáticamente. Es la opción más accesible, pero tiene limitaciones: algunos malware evaden la detección de plugins y quedan backdoors que no se detectan.
Limpieza manual: revisar y comparar los archivos del servidor contra una instalación limpia de WordPress, identificar y eliminar código inyectado, revisar la base de datos en busca de código malicioso. Efectiva pero requiere conocimientos técnicos avanzados.
Contratar un servicio de limpieza profesional: la opción más segura para negocios sin equipo técnico propio. Un profesional identifica no solo el malware visible sino también los backdoors ocultos y el vector de entrada, para cerrar todos los agujeros.
El error más frecuente en las limpiezas que hace la propia empresa es eliminar el malware visible pero dejar backdoors activos. El resultado: la web vuelve a infectarse en días o semanas.
Restaurar desde backup: la opción más rápida
Si tienes un backup automático de la web de antes del hackeo, restaurarlo puede ser más rápido y más seguro que limpiar la web infectada. Pero hay que tener cuidado:
- Verifica que el backup es anterior a la infección — algunas infecciones llevan semanas activas antes de detectarse, y los backups de ese período ya están infectados
- Después de restaurar, cambia todas las contraseñas igualmente — el backup restaura los archivos pero no cierra el vector de entrada
- Aplica inmediatamente todas las actualizaciones pendientes de WordPress, plugins y temas antes de volver a poner la web online
Si no tienes backup o el backup más reciente ya está infectado, la única opción es la limpieza manual o profesional.
Cómo evitar que vuelva a pasar
Una vez recuperada la web, estos son los pasos para reducir drásticamente el riesgo de un nuevo ataque:
- Actualizar WordPress + plugins + temas semanalmente — la mayoría de ataques explotan vulnerabilidades para las que ya existe parche. Actualizar puntualmente es la medida más efectiva
- Contraseñas únicas y fuertes en todas las cuentas — mínimo 20 caracteres, generadas con un gestor de contraseñas
- Autenticación de dos factores (2FA) en todas las cuentas de administrador — incluso si alguien consigue tu contraseña, no puede entrar sin el segundo factor
- Plugin de seguridad activo con firewall — Wordfence (gratis), MalCare o iThemes Security
- Backups automáticos diarios en ubicación externa — no en el mismo servidor. Si el servidor se compromete, el backup tiene que estar fuera
- Hosting de calidad con firewall de servidor — no todos los hostings son iguales en seguridad
El 90% de los hackeos de WordPress son evitables
Los ataques son oportunistas y automatizados. Los bots no eligen a sus víctimas: simplemente escanean millones de webs buscando las que tienen plugins desactualizados, contraseñas débiles o configuraciones conocidas vulnerables. Una web bien mantenida es, literalmente, invisible para el 90% de estos ataques: simplemente no presentan la vulnerabilidad que el bot está buscando.
Un mantenimiento mensual básico — actualizaciones, revisión de seguridad, backups verificados — elimina casi todos los vectores de ataque habituales.
Si tienes un negocio en Lleida y tu web ha sido hackeada
En Mantenimiento.Digital ofrecemos recuperación urgente de webs WordPress hackeadas. Identificamos el origen del ataque, limpiamos todos los archivos infectados incluyendo backdoors, restauramos el funcionamiento normal y configuramos la seguridad para que no vuelva a pasar.
Si además quieres tener la tranquilidad de que alguien mantiene tu web actualizada, segura y con backups diarios, nuestros planes de mantenimiento están pensados exactamente para eso.