← Volver al Blog

¡Socorro! Mi Web WordPress fue Hackeada. Guía de Primeros Auxilios para Limpiar y Proteger tu Sitio

Publicado por Miguel Trejo el 2025-06-09

Encontrar tu página web mostrando anuncios extraños, redirigiendo a sitios fraudulentos o bloqueada por Google con una pantalla roja es una experiencia aterradora. Un hackeo no solo daña tu reputación, sino que puede destruir tu posicionamiento SEO y la confianza de tus clientes.

Si te encuentras en esta situación, no entres en pánico. Respira hondo y sigue este plan de acción.

Paso 1: Aislar el Problema (Modo Mantenimiento)

Lo primero es evitar que el daño se extienda a tus visitantes. Pon tu web en modo mantenimiento para que nadie más pueda acceder a ella mientras trabajas.

Acción Inmediata: Usa un plugin de modo mantenimiento o, si tienes acceso, crea un archivo .maintenance en la raíz de tu WordPress. Cambia inmediatamente todas tus contraseñas: hosting (cPanel/Plesk), FTP, y de todos los usuarios administradores de WordPress.

Paso 2: Escanear e Identificar la Infección

Necesitas saber dónde se esconde el código malicioso. Puede estar en los archivos de tu tema, en los plugins o incluso en la base de datos.

Acción Inmediata: Instala y ejecuta un escáner de seguridad de confianza como Wordfence o Sucuri Security. Estas herramientas compararán tus archivos con los originales del repositorio de WordPress y te señalarán los archivos modificados o sospechosos.

Paso 3: Limpieza y Restauración

Aquí es donde se requiere cuidado técnico. Borrar archivos sin saber lo que haces puede romper tu web permanentemente.

Acción Inmediata: La forma más segura es restaurar una copia de seguridad limpia que sepas que fue creada antes de la infección. Si no tienes una, el proceso es manual: debes reemplazar los archivos del núcleo de WordPress y los plugins con versiones limpias descargadas de sus repositorios oficiales, y revisar cuidadosamente la carpeta wp-content/uploads y tu archivo wp-config.php en busca de código anómalo.

Paso 4: Fortalecer las Defensas (Prevención)

Limpiar la web no es suficiente. Debes cerrar la puerta por la que entraron los atacantes.

Acción Inmediata: Implementa medidas de "hardening": limita los intentos de inicio de sesión, activa la autenticación de dos factores (2FA), cambia la URL de acceso a wp-admin y asegúrate de que todos tus temas y plugins estén siempre actualizados a su última versión.

Recuperarse de un hackeo es un proceso técnico y delicado. Si prefieres que un profesional se encargue de la limpieza y fortificación de tu sitio para asegurar que la amenaza se elimine por completo, ofrezco servicios de emergencia de seguridad y limpieza de malware.