Etiqueta: presupuesto

  • Costo real de limpiar WordPress: presupuesto honesto sin sorpresas al final

    Costo real de limpiar WordPress: presupuesto honesto sin sorpresas al final

    ¿Cuánto cuesta realmente limpiar un WordPress infectado?

    Cuando un cliente me llama porque su WordPress está comprometido, la primera pregunta que siempre hace es: «¿cuánto me va a costar?». No es casual. En mi experiencia analizando sitios web, he visto presupuestos que van desde 300 euros hasta más de 5.000, y muchas veces sin claridad sobre qué incluye cada uno. Hoy quiero ser completamente honesto contigo: te voy a explicar los costos reales, desglosados, sin sorpresas al final.

    La limpieza de WordPress no es un servicio estándar. Cada infección es diferente: un backdoor simple no cuesta lo mismo que extraer un Magecart que ha estado robando datos de clientes durante meses. Por eso los precios varían tanto, y por eso es importante que entiendas exactamente en qué se invierte el dinero.

    Factores que determinan el costo real de la limpieza

    1. Tipo y alcance de la infección

    Un malware simple (como un redirector o un spam SEO) puede limpiarse en 2-3 horas. Pero si tu sitio tiene un backdoor PHP incrustado en múltiples carpetas, webshells ocultas, cryptominers o modificaciones en el núcleo de WordPress, el tiempo de análisis y eliminación se multiplica.

    En mis auditorías más complejas, he encontrado casos donde:

    • El atacante había comprometido la base de datos y todos los backups existentes.
    • El malware se replicaba automáticamente cuando intentábamos eliminarlo (persistencia).
    • Había inyecciones SQL en múltiples plugins y el archivo wp-config.php.
    • Los permisos de carpetas estaban mal configurados desde la instalación.

    Estos casos requieren entre 6 y 15 horas de trabajo especializado. El presupuesto no puede ser el mismo que para un sitio con un simple plugin malicioso.

    2. Tamaño y complejidad del sitio

    Un blog de 20 posts no es lo mismo que un e-commerce con 500 productos, usuarios registrados y datos de clientes. Los e-commerce requieren verificación adicional de seguridad PCI, auditoría de módulos de pago y validación de que no hubo robo de tarjetas.

    PrestaShop es especialmente exigente en esto. Si tu tienda tiene un módulo de pago comprometido (riesgo Magecart), tendrás que revisar cada transacción de los últimos 6 meses, informar a proveedores de pago y posiblemente a AEPD.

    3. Necesidad de restauración desde backup

    Si tienes un backup limpio y fiable, la limpieza es mucho más rápida y barata: simplemente restauramos y verificamos. Pero si no tienes backups o los backups también están infectados, hay que hacer una limpieza manual completa, línea por línea en algunos casos.

    He visto clientes sin backups desde hace 18 meses. Eso significa que si la infección lleva 6 meses (algo común), tenemos que hacer limpieza quirúrgica: identificar qué es malware y qué es contenido legítimo.

    4. Auditoría post-limpieza y hardening

    Una limpieza sin hardening es como curar una herida infectada sin limpiar la suciedad. Si solo limpiamos pero no cerramos las puertas abiertas, el sitio se reinfectará en días o semanas.

    El hardening incluye:

    • Cambiar contraseñas de admin, FTP, base de datos.
    • Desactivar edición de archivos desde el panel de WordPress.
    • Cambiar prefijo de tablas de base de datos.
    • Configurar protección de wp-config.php y wp-admin.
    • Implementar reglas .htaccess contra ataques comunes.
    • Auditoría de permisos de carpetas (644 para archivos, 755 para directorios).
    • Actualizar todos los plugins, temas y núcleo de WordPress.
    • Implementar 2FA en cuentas administrativas.

    Esto no es opcional. Es la diferencia entre pagar ahora o pagar mucho más después.

    Desglose típico de costos (presupuesto real)

    Escenario 1: Infección simple (malware de bajo nivel)

    Tiempo estimado: 3-4 horas

    • Análisis inicial y diagnóstico: 1 hora (100-150€)
    • Eliminación de malware: 1,5 horas (150-225€)
    • Restauración desde backup limpio: 0,5 horas (50-75€)
    • Hardening básico (cambio de contraseñas, actualización de plugins): 1 hora (100-150€)

    Presupuesto total: 400-600€

    Este es el mejor escenario: tienes backups, la infección se detectó rápido y no hay datos de clientes comprometidos.

    Escenario 2: Infección moderada (backdoors, inyecciones SQL)

    Tiempo estimado: 8-10 horas

    • Análisis profundo y búsqueda de todos los vectores de ataque: 2 horas (300-400€)
    • Eliminación manual de backdoors y webshells: 3 horas (450-600€)
    • Auditoría de base de datos y limpieza de inyecciones: 2 horas (300-400€)
    • Hardening completo (permisos, .htaccess, 2FA, CSP, HSTS): 2 horas (300-400€)
    • Pruebas de funcionamiento y validación de seguridad: 1 hora (150€)

    Presupuesto total: 1.500-2.000€

    Aquí hay trabajo real de investigación. Probablemente no tengas backups limpios o tengas que hacer verificación de integridad del código.

    Escenario 3: Infección grave (e-commerce con datos comprometidos)

    Tiempo estimado: 20-30 horas

    • Análisis forense completo: 4 horas (600-800€)
    • Búsqueda y eliminación de persistencia: 5 horas (750-1.000€)
    • Auditoría PCI y validación de módulos de pago: 4 horas (600-800€)
    • Análisis de transacciones y evaluación de robo de datos: 3 horas (450-600€)
    • Hardening avanzado (WAF, monitoreo, logs): 3 horas (450-600€)
    • Documentación de incidencia para AEPD (si aplica): 1 hora (150-200€)

    Presupuesto total: 3.000-4.500€

    En estos casos, además de la limpieza técnica, hay obligaciones legales. Si has tenido datos personales expuestos, tienes que notificar a AEPD en algunos casos. Eso no es coste de limpieza, es coste de cumplimiento legal.

    ¿Por qué el hardening no debería ser «opcional»?

    Muchos proveedores ofrecen «limpieza barata» sin hardening. Luego el cliente se reinfecta en dos semanas y paga de nuevo. He visto esto cientos de veces.

    El hardening cuesta entre 300-800€ adicionales, pero evita que gastes 3.000-5.000€ en una segunda limpieza. Es matemática simple: invierte un poco más ahora o mucho más después.

    Los elementos de hardening no negociables son:

    1. Cambio de todas las contraseñas: Si atacantes tuvieron acceso, tus contraseñas están comprometidas. No puedes limpiar sin cambiarlas todas.
    2. Desactivar edición de archivos: Editar archivos desde el panel de WordPress (wp-admin) es un fallo crítico. Desactívalo con define('DISALLOW_FILE_EDIT', true); en wp-config.php.
    3. Limitar intentos de login: La mayoría de intrusiones comienzan con fuerza bruta contra wp-login.php. Implementa límite de 5 intentos por IP cada 15 minutos.
    4. Actualizar todo: WordPress, plugins y temas. Las versiones desactualizadas son la causa número uno de infecciones. No es opcional.
    5. Reglas .htaccess: Bloquear acceso a archivos peligrosos (wp-config.php, xmlrpc.php) y carpetas sensibles (wp-admin desde IPs no autorizadas).

    Costos ocultos que nadie te menciona

    1. Migración a servidor nuevo

    A veces, la infección es tan profunda que limpiar en el servidor actual es arriesgado. Necesitas migrar a un servidor nuevo, limpio. Eso puede costar 300-600€ adicionales en migración profesional.

    2. Certificado SSL nuevo

    Si el certificado SSL estuvo activo mientras había malware, algunos proveedores de SSL recomiendan renovar. No es obligatorio si confías en que el malware no robó la clave privada. Pero es una precaución. Costo: 50-150€.

    3. Auditoría de terceros

    Para e-commerce, especialmente PCI-DSS, a veces necesitas que un tercero externo valide que el sitio está limpio. Eso cuesta 500-1.500€ adicionales, pero es requisito en algunos casos.

    4. Monitoreo post-limpieza

    No es obligatorio, pero es inteligente. Un monitoreo de 3 meses por 50-100€/mes te alerta si hay reinoculación de malware. Mucha mejor que descubrir en 6 meses que volvió a ser infectado.

    ¿Cómo evitar que te cobren de más?

    Aquí es donde entra mi honestidad profesional. He visto propuestas de 8.000€ para infecciones que costaban 1.500€. ¿Cómo identificar si te están robando?

    Señales de alerta:

    • Presupuesto sin desglose: «Te cobraré 5.000€ pero no sé exactamente cuánto tiempo tardará».
    • No incluye hardening: Solo eliminan el malware visible, no cierran las puertas.
    • Sin plan de backup: No ofrecen restauración automática después.
    • Sin auditoría post-limpieza: No verifican que el malware esté completamente eliminado.
    • Presupuesto fijo sin análisis previo: Todo sitio es diferente. Si no analizan primero, están adivinando.

    Señales de profesionalismo:

    • Análisis inicial sin coste para diagnosticar qué tiene tu sitio.
    • Presupuesto desglosado con tiempo estimado para cada tarea.
    • Hardening incluido o muy claro cuál es el costo.
    • Garantía de limpieza (si vuelve a aparecer malware en 30-60 días, lo limpian gratis).
    • Plan de monitoreo posterior ofrecido como complemento, no obligatorio.
    • Acceso a reportes técnicos detallados después de la limpieza.

    Presupuesto honesto para tu situación específica

    Cada sitio es único. Lo que sí te puedo garantizar es que un presupuesto profesional debe incluir:

    1. Diagnóstico inicial: Para saber qué estamos limpiando (gratuito o muy bajo coste).
    2. Plan de limpieza detallado: Paso a paso, con tiempos realistas.
    3. Hardening específico: No genérico, sino adaptado a tu tipo de sitio.
    4. Garantía post-limpieza: Mínimo 30 días sin reinoculación.
    5. Documentación: Registro completo de qué se limpió, qué se cambió, acciones futuras.

    Si tu presupuesto cumple estos 5 puntos, probablemente es honesto. Si falta alguno, pregunta por qué.

    Referencias técnicas para entender el coste real

    Si quieres profundizar en qué hace que una limpieza sea compleja, estos recursos de autoridad explican bien los riesgos:

    Resumen: Presupuesto realista sin sorpresas

    Infección simple (malware bajo nivel): 400-600€

    Infección moderada (backdoors, inyecciones): 1.500-2.000€

    Infección grave (e-commerce, datos comprometidos): 3.000-4.500€

    Estos rangos incluyen análisis, limpieza, hardening básico/completo y validación. Si alguien te presupuesta fuera de estos rangos sin justificación clara, pregunta por qué.

    Lo más importante: no busques el presupuesto más barato. Busca transparencia. Un profesional honesto te explica qué hace, por qué lo hace y cuánto tiempo le toma. El costo se justifica solo.

    Si tu sitio está infectado y necesitas presupuesto real sin sorpresas, sin obligación de contratación, puedo ayudarte. He analizado cientos de casos y sé exactamente cómo diagnosticar y cuánto cuesta limpiar cada tipo de infección.

    Contacta conmigo en ManuelFolgar.com/contacto para un análisis honesto de tu situación específica. Sin sorpresas al final.