Com sé si m'han hackejat?
De vegades el hackejament és obvi: la web mostra contingut en un altre idioma, una pàgina de "Hacked by [nom]" o publicitat de productes que no vens. Però molts atacs són silenciosos i estan dissenyats precisament perquè no els detectis durant el màxim temps possible.
Senyals que indiquen que el teu WordPress ha pogut ser compromès:
- La web mostra contingut estrany — text en japonès, xinès o àrab al resultat de cerca de Google (SEO spam), o pàgines de casino i farmàcia al teu lloc
- Google la marca com a perillosa — apareix l'avís "Aquest lloc pot danyar el teu equip" als resultats de cerca o "Lloc enganyós" en entrar
- El hosting ha suspès el compte — molts hostings detecten malware automàticament i suspenen la web per protegir altres clients del servidor
- Els teus clients reben emails de spam des del teu domini — el servidor s'està usant per enviar correus massius
- Google Search Console avisa de pàgines compromeses — la secció de Seguretat i Accions manuals mostra alertes
- El panell de WordPress no carrega o apareixen usuaris desconeguts — han creat comptes d'administrador que no reconèixes
El primer que has de fer en les properes 2 hores
La velocitat importa. Cada hora que passa, el hackejament pot empitjorar: més spam enviat, més pàgines infectades, més dany a la teva reputació a Google. Actua en aquest ordre:
- Posa la web en mode manteniment o desconnecta-la temporalment — evita que els visitants rebin el contingut maliciós mentre treballes en la recuperació
- Canvia totes les contrasenyes immediatament — WordPress (tots els usuaris administradors), panell d'hosting, accés FTP i contrasenya de la base de dades. Usa contrasenyes d'almenys 20 caràcters generades automàticament
- Contacta amb el teu hosting — informa'ls que has detectat un compromís. La majoria tenen protocols específics i poden ajudar-te a identificar el vector d'atac i els fitxers afectats
- Fes una còpia de l'estat actual — encara que estigui infectada. Aquesta còpia serveix per a l'anàlisi forense: identificar com van entrar i què van modificar
- Comunica a Google a través de Search Console — si Google ja ha detectat el problema, hi ha un procés per sol·licitar una revisió un cop la web estigui neta. Com abans comencis, abans s'elimina l'avís de lloc perillós
Les causes més habituals d'un hackejament WordPress
Els atacs a WordPress rarament són atacs dirigits a un negoci concret. Són atacs automatitzats que escanegen milions de webs buscant vulnerabilitats conegudes. Les causes més freqüents són:
- Plugins desactualitzats — cada actualització d'un plugin sol incloure pegats de seguretat. Un plugin amb 6 mesos sense actualitzar pot tenir vulnerabilitats públicament documentades que els bots exploten de forma automàtica
- Temes nulled (pirates) — els temes premium descarregats de fonts no oficials quasi sempre inclouen backdoors o malware incrustat de sèrie
- Contrasenyes febles o reutilitzades — "admin" + "123456" continua sent la combinació més atacada
- Sense autenticació de dos factors — si algú aconsegueix la teva contrasenya (per una filtració en un altre servei que uses), pot entrar sense cap obstacle addicional
- Hosting de baixa qualitat — alguns hostings barats tenen configuracions del servidor que faciliten que un atac en una web del servidor contamini a d'altres
- Sense tallafoc d'aplicació web — sense un WAF actiu, totes les peticions arriben directament a WordPress sense filtratge previ
Com netejar una web WordPress hackejada
Hi ha tres aproximacions, de menor a major fiabilitat:
Usar plugins de seguretat (Wordfence, MalCare, Sucuri) per escanejar i netejar automàticament. És l'opció més accessible, però té limitacions: alguns malware eviten la detecció de plugins i queden backdoors que no es detecten.
Neteja manual: revisar i comparar els fitxers del servidor contra una instal·lació neta de WordPress, identificar i eliminar codi injectat, revisar la base de dades en cerca de codi maliciós. Efectiva però requereix coneixements tècnics avançats.
Contractar un servei de neteja professional: l'opció més segura per a negocis sense equip tècnic propi. Un professional identifica no sols el malware visible sinó també els backdoors ocults i el vector d'entrada, per tancar tots els forats.
L'error més freqüent en les neteges que fa la pròpia empresa és eliminar el malware visible però deixar backdoors actius. El resultat: la web torna a infectar-se en dies o setmanes.
Restaurar des de backup: l'opció més ràpida
Si tens un backup automàtic de la web d'abans del hackejament, restaurar-lo pot ser més ràpid i més segur que netejar la web infectada. Però cal tenir cura:
- Verifica que el backup és anterior a la infecció — algunes infeccions porten setmanes actives abans de detectar-se, i els backups d'aquell període ja estan infectats
- Després de restaurar, canvia totes les contrasenyes igualment — el backup restaura els fitxers però no tanca el vector d'entrada
- Aplica immediatament totes les actualitzacions pendents de WordPress, plugins i temes abans de tornar a posar la web online
Si no tens backup o el backup més recent ja està infectat, l'única opció és la neteja manual o professional.
Com evitar que torni a passar
Un cop recuperada la web, aquests són els passos per reduir dràsticament el risc d'un nou atac:
- Actualitzar WordPress + plugins + temes setmanalment — la majoria d'atacs exploten vulnerabilitats per a les quals ja existeix pegat. Actualitzar puntualment és la mesura més efectiva
- Contrasenyes úniques i fortes en tots els comptes — mínim 20 caràcters, generades amb un gestor de contrasenyes
- Autenticació de dos factors (2FA) en tots els comptes d'administrador — fins i tot si algú aconsegueix la teva contrasenya, no pot entrar sense el segon factor
- Plugin de seguretat actiu amb tallafoc — Wordfence (gratuït), MalCare o iThemes Security
- Backups automàtics diaris en ubicació externa — no en el mateix servidor. Si el servidor es compromet, el backup ha d'estar fora
- Hosting de qualitat amb tallafoc de servidor — no tots els hostings són iguals en seguretat
El 90% dels hackejaments de WordPress són evitables
Els atacs són oportunistes i automatitzats. Els bots no trien les seves víctimes: simplement escanegen milions de webs buscant les que tenen plugins desactualitzats, contrasenyes febles o configuracions conegudes vulnerables. Una web ben mantinguda és, literalment, invisible per al 90% d'aquests atacs: simplement no presenten la vulnerabilitat que el bot està buscant.
Un manteniment mensual bàsic — actualitzacions, revisió de seguretat, backups verificats — elimina gairebé tots els vectors d'atac habituals.
Si tens un negoci a Lleida i la teva web ha estat hackejada
A Mantenimiento.Digital oferim recuperació urgent de webs WordPress hackejades. Identifiquem l'origen de l'atac, netejem tots els fitxers infectats incloent backdoors, restaurem el funcionament normal i configurem la seguretat perquè no torni a passar.
Si a més vols tenir la tranquil·litat que algú manté la teva web actualitzada, segura i amb backups diaris, els nostres plans de manteniment estan pensats exactament per a això.