¿Cómo sé con seguridad que mi WordPress está hackeado?

Los síntomas más comunes son avisos de Google Search Console de 'sitio hackeado', posts/páginas no creadas por ti, redirecciones sospechosas, rendimiento lento extremo, y advertencias del navegador. Usa Wordfence CLI o Sucuri SiteCheck para confirmarlo con análisis técnico.

¿Puedo confiar en una restauración desde backup después del ataque?

No completamente. Debes restaurar un backup anterior al ataque (idealmente verificado como limpio), pero después es obligatorio hardening: cambiar contraseñas, actualizar WordPress/plugins, deshabilitar edición de archivos y implementar 2FA. Sin esto, el atacante vuelve.

¿Cuánto tarda en desaparecer el aviso de Google de sitio hackeado?

Google revisa en 24-72 horas después de solicitar revisión en Search Console. Si tarda más, verifica que el malware esté eliminado (revisa logs, busca backdoors). La reputación online se recupera, pero requiere limpieza real, no promesas.

¿Debo cambiar contraseña de hosting, cPanel y WordPress a la vez o en qué orden?

Primero la del usuario administrador de WordPress desde otro ordenador. Luego FTP/SFTP y cPanel (para controlar el servidor). Por último, base de datos. El orden importa porque algunos cambios requieren acceso previo.

¿Qué hago si no encuentro de dónde entró el atacante tras limpiar?

Revisa logs de acceso (Apache/Nginx), busca solicitudes POST anómalas a wp-login.php en horarios raros o plugins desactualizados en los últimos meses. Si aún así no lo encuentras, implementa todas las medidas de hardening y monitoring (Wordfence, MalCare) para prevenir próximos intentos.

Recuperar WordPress hackeado: Guía paso a paso desde cero

Recuperar WordPress hackeado: guía completa paso a paso

En mi experiencia limpiando más de 500 WordPress comprometidos, lo primero que observo es el pánico de los propietarios. Tu sitio está hackeado, tu tráfico cae, aparecen avisos de Google. Respira: la recuperación es posible si actúas con método. En este artículo te muestro exactamente cómo hacerlo desde cero, sin depender de nadie.

¿Cómo sé que mi WordPress está hackeado?

Antes de empezar, necesitas confirmarlo. Los síntomas más comunes que veo en mis auditorías son:

Avisos de Google Search Console: «Sitio hackeado» o «Contenido malicioso detectado».
Cambios inexplicados: páginas nuevas, categorías, posts que no creaste.
Rendimiento lento: tu servidor cargado, CPU al 100%, conexiones de base de datos agotadas (síntoma típico de cryptominers).
Redirecciones: al pulsar enlaces, acabas en sitios de spam, casinos o contenido para adultos.
Código sospechoso: eval(), base64_decode() en archivos que no deberían tenerlo.
Advertencias de navegadores: «Este sitio puede dañar tu ordenador» en Chrome.
Correos de tu hosting: notificaciones de actividad sospechosa, malware detectado o abuso de recursos.

Si tienes al menos 3 de estos síntomas, estamos ante un compromiso real. Ahora, vamos a recuperarlo.

Paso 1: Aislamiento inmediato (las primeras 2 horas)

No toques nada innecesariamente. Tu objetivo ahora es evitar más daño mientras reúnes información.

Acción 1.1: Cambia todas las contraseñas de acceso. Desde otro ordenador (no el que puedas haber usado infectado), cambia:

Contraseña del usuario administrador en WordPress (wp-admin → Usuarios → Tu usuario → Nueva contraseña).
Contraseña FTP/SFTP del hosting.
Contraseña cPanel, Plesk o panel de control.
Contraseña del usuario de base de datos (en phpmyadmin → Usuarios).
Credenciales de correo asociadas al dominio.

Lo que ves aquí es fundamental: los atacantes suelen guardar puertas traseras (backdoors). Cambiar contraseñas no basta; una contraseña nueva sin limpiar malware simplemente te permite entrar al mismo sitio comprometido.

Acción 1.2: Realiza un backup de evidencia. Descarga por FTP la carpeta completa de WordPress (especialmente wp-content/plugins y wp-content/themes) y un dump de la base de datos. No es para restaurar; es para análisis posterior y, si es necesario, compartir con profesionales o fuerzas de seguridad.

Acción 1.3: Desactiva plugins de una. Accede a wp-admin (con la contraseña nueva). Ve a Plugins → Todos los plugins. Desactiva cada uno individualmente sin eliminarlos todavía. Un plugin comprometido puede ser la puerta de entrada; muchas veces, el atacante instala plugins falsos o inyecta código en plugins legales.

Paso 2: Análisis forense (2-4 horas)

Ahora necesitas identificar qué exactamente está comprometido. En este paso uso herramientas profundas.

Acción 2.1: Escanea con Wordfence CLI. Es gratuito y muy preciso. Conéctate por SSH a tu servidor y ejecuta:

$ wp wordfence scan –skip-cache-flush

Wordfence te listará archivos maliciosos, cambios en core, plugins sospechosos. Anota cada uno. Si no tienes SSH, usa OWASP ZAP desde tu máquina local para escanear la web pública.

Acción 2.2: Revisa archivos de logs. Tu hosting almacena logs en:

/var/log/apache2/access.log (Apache) o /var/log/nginx/access.log (Nginx).
/home/tuusuario/public_html/wp-content/debug.log (si DEBUG está activo en wp-config.php).

Busca patrones sospechosos: solicitudes a wp-login.php masivas (brute force), accesos a wp-admin.php en horarios raros, POST requests a archivos php en wp-content/uploads. Los logs son tu caja negra; guardan la evidencia del ataque.

Acción 2.3: Analiza la base de datos. Accede a phpMyAdmin (en cPanel) o usa WP-CLI:

$ wp db query «SELECT * FROM wp_posts WHERE post_status=’trash’ OR post_content LIKE ‘%eval%’ LIMIT 20;»

Busca posts con código malicioso en su contenido, usuarios administrador no autorizados, posts en papelera que vieron hueco. Los atacantes suelen insertar posts ocultos para mantener SEO spam o backdoors en la metadata.

Acción 2.4: Sube archivos sospechosos a VirusTotal. En VirusTotal, carga los plugins desactualizados, temas custom y cualquier archivo PHP que Wordfence haya marcado. VirusTotal analiza con 60+ motores antivirus. No es perfecto, pero atrapa el 95% de malware conocido.

Paso 3: Limpieza de malware (4-8 horas)

Con el análisis hecho, ahora eliminarás lo malicioso. Esto es irreversible, así que hazlo solo si tienes muy claro qué eliminas.

Acción 3.1: Elimina plugins comprometidos. Ve a wp-admin → Plugins. Elimina cualquier plugin:

Que VirusTotal marque como positivo (incluso un motor de 60).
Que no reconozcas o que no tengas activo en tu lista.
Desactualizado hace más de 6 meses (especialmente los de seguridad como «Wordfence», «Sucuri», «iThemes» falsos).
Con nombres raros tipo «wp-settings-manager», «core-update», «database-backup».

Después, accede a wp-content/plugins por FTP y elimina manualmente las carpetas de los plugins que borraste. Los atacantes a veces dejan código en plugins desinstalados.

Acción 3.2: Reemplaza el tema. Vuelve a descargar tu tema oficial desde WordPress.org o tu proveedor (Themeforest, etc.). Sube toda la carpeta por FTP sobrescribiendo la antigua. Los temas modificados suelen inyectar código en functions.php para mantener acceso. Si usas un tema child, elimina también su carpeta y recrea solo el functions.php limpio.

Acción 3.3: Actualiza WordPress core. Descarga la última versión de WordPress.org. Copia todos los archivos (excepto wp-content y wp-config.php) sobrescribiendo los existentes por FTP. Luego ejecuta en wp-admin: Herramientas → Actualizaciones de base de datos.

Nota importante: No uses wp-admin para actualizar si desconfías de la seguridad del servidor. Las actualizaciones automáticas pueden ejecutar código antes de limpiar malware. Hazlo por FTP / SFTP.

Acción 3.4: Limpia la base de datos. Elimina posts y usuarios sospechosos. En phpMyAdmin o con WP-CLI:

$ wp user list –role=administrator

¿Ves administradores que no creaste? Elimínalos. En la tabla wp_posts, busca posts en papelera o con slugs raros. También limpia la tabla wp_postmeta y wp_options de cualquier entrada que contenga eval(), base64 o URLs sospechosas.

Acción 3.5: Busca y elimina archivos backdoor en el servidor. Los backdoors típicos se llaman webshell.php, update.php, config.php (falso), shell.php, admin.php (falso). Conéctate por SSH y busca:

$ find /home/tuusuario/public_html -name «*.php» -exec grep -l «eval|base64_decode|passthru|system|exec|shell_exec» {} ;

Cada archivo que salga, revísalo en un editor de texto. Si contiene código de backdoor, eliminalo. Si es un archivo legítimo con esas funciones (como un plugin de backup), verifica que sea de confianza antes de eliminar.

Paso 4: Hardening (prevención de futuros ataques)

De nada sirve limpiar si en un mes vuelve a pasar. Aquí es donde la mayoría de administradores flaquea. Implementa estas medidas de seguridad ahora:

Acción 4.1: Protege wp-config.php. Añade a tu .htaccess (en la raíz de WordPress):

<files wp-config.php>
order allow,deny
deny from all
</files>

Acción 4.2: Deshabilita la edición de archivos en wp-admin. Añade a wp-config.php (antes de la línea «That’s all, stop editing!»):

define(‘DISALLOW_FILE_EDIT’, true);

Esto impide que si un atacante accede a wp-admin, pueda modificar plugins o temas desde el editor de código.

Acción 4.3: Limita intentos de login a WordPress. Instala Wordfence Security (versión gratuita) o Loginizer. Configura máximo 5 intentos fallidos cada 15 minutos. Esto detiene ataques de fuerza bruta (brute force) contra wp-login.php.

Acción 4.4: Activa 2FA en tu cuenta administrador. Con Wordfence o Google Authenticator, protege tu usuario admin con autenticación de dos factores. Si alguien consigue tu contraseña, sin el segundo factor no accede.

Acción 4.5: Cambia el prefijo de tablas de base de datos. Por defecto es «wp_». Los atacantes lo conocen y pueden automatizar inyecciones SQL. Si tienes acceso SSH, puedes cambiarlo con herramientas como WP Security Audit Log o manualmente (es complejo; considéralo una tarea de profesional).

Acción 4.6: Establece permisos correctos de archivos. En SSH, ejecuta:

$ find /home/tuusuario/public_html -type f -exec chmod 644 {} ;
$ find /home/tuusuario/public_html -type d -exec chmod 755 {} ;

Esto asegura que los archivos no sean ejecutables por el usuario del servidor; reduce significativamente el riesgo de inyección de código.

Acción 4.7: Configura backups automáticos. Usa UpdraftPlus (gratuito) o similar. Planifica un backup diario hacia Dropbox o tu email. Si vuelve a pasar, recuperas en 30 minutos.

Paso 5: Limpieza ante Google y reputación

Google avisa a usuarios que tu sitio está comprometido. Debes notificarle que está limpio.

Acción 5.1: Accede a Google Search Console. Ve a Seguridad e informes manuales → Problemas de seguridad. Allí aparecerán los avisos. Haz clic en «Solicitar revisión». Google tarda 24-72 horas en verificar que has limpiado el malware. No rellenar esta solicitud alarga el aviso semanas.

Acción 5.2: Solicita eliminación de contenido malicioso si está indexado. En Search Console → Remover, elimina URLs de spam, posts inyectados o redirectores que apunten a sitios maliciosos. Esto ayuda a borrar la «memoria» de Google.

Acción 5.3: Reindexación. Después de limpiar, solicita a Google que rastree tu sitio de nuevo. En Search Console → Inspección de URL, introduce tu página principal y pulsa «Solicitar indexación». Google enviará bots en las próximas horas.

¿Qué hago si no puedo hacerlo yo?

Entiendo que esto es técnico y requiere paciencia. Algunos pasos como la búsqueda de backdoors o la reconfiguración de permisos son complejos si no tienes experiencia con SSH.

Mi equipo en ManuelFolgar.com se especializa precisamente en esto: limpieza forense de malware, hardening completo y auditoría post-ataque. Analizamos tu sitio en profundidad, identificamos el vector de ataque inicial (plugin desactualizador, contraseña débil, etc.) y lo cerramos para que no vuelva a pasar.

Si has seguido este artículo y te quedas atascado, o prefieres que un profesional lo haga desde el primer minuto, contacta conmigo aquí. Ofrezco diagnóstico gratuito en 24 horas.

Resumen de tiempos

La recuperación total suele llevar:

Aislamiento: 2 horas.
Análisis: 4 horas.
Limpieza: 6-8 horas (depende de cuánto malware haya).
Hardening: 2 horas.
Revisión de Google: 24-72 horas (no cuenta en tu tiempo).

Total: entre 14 y 18 horas de trabajo técnico concentrado. Hacerlo con prisas o saltándose pasos es el principal motivo por el que el malware vuelve semanas después.

Si tu sitio es crítico para tu negocio, no pierdas tiempo en prueba y error. Solicita limpieza profesional ahora; los tiempos de inactividad cuestan más que la inversión en un especialista.

Recuperar WordPress hackeado: paso a paso desde cero

Recuperar WordPress hackeado: guía completa paso a paso

¿Cómo sé que mi WordPress está hackeado?

Paso 1: Aislamiento inmediato (las primeras 2 horas)

Paso 2: Análisis forense (2-4 horas)

Paso 3: Limpieza de malware (4-8 horas)

Paso 4: Hardening (prevención de futuros ataques)

Paso 5: Limpieza ante Google y reputación

¿Qué hago si no puedo hacerlo yo?

Resumen de tiempos

Más entradas

Que hacer cuando no consigo solucionar mi problema del wordpress incluso utilizando la IA

Tema vulnerables en 2026: qué versiones antiguas dejan puertas abiertas al malware

Base de datos corrupta tras ataque: recuperación segura de wp_users y wp_options

Formularios contacto secuestrados: cómo los hackers roban datos a través de formularios