Mantenimiento WordPress · Seguridad WordPress

WordPress hackeado: qué hacer paso a paso para recuperarlo

Alex — TuPaginaWeb.com abril 26, 2026 Actualizado: junio 7, 2026

Tu sitio WordPress muestra contenido extraño, Google lo marca como peligroso, o tu hosting te suspendió la cuenta. Estas son señales claras de que algo anda mal. El pánico es normal, pero hay pasos concretos que puedes seguir.

Limpieza y recuperación de un sitio hackeado
Recuperar un sitio implica limpiarlo y blindarlo.

Cómo saber si tu WordPress fue hackeado

  • Tu sitio muestra anuncios, enlaces o contenido que no pusiste tú
  • Google Search Console te envía una alerta de contenido malicioso
  • Los visitantes ven una advertencia de “sitio peligroso” en el navegador
  • Tu hosting te suspende la cuenta por actividad sospechosa
  • Ves usuarios administradores que no creaste tú
  • Tu sitio redirige a otras páginas automáticamente

Paso 1: No entres en pánico, pero actúa rápido

Cada hora que pasa, el daño puede crecer: más archivos infectados, más páginas indexadas por Google con contenido malicioso, más correos de spam enviados desde tu servidor.

Paso 2: Cambia todas las contraseñas de inmediato

Usuario administrador de WordPress, panel de hosting (cPanel), base de datos, FTP y correo asociado. Usa contraseñas largas y únicas para cada uno.

Paso 3: Restaura desde un backup limpio (si tienes uno)

Esta es la razón #1 por la que los backups son no negociables. Si tienes un backup reciente anterior al hackeo, restaurarlo es la opción más rápida y confiable. Si no tienes backup… aprende la lección y nunca vuelvas a estar sin uno.

Paso 4: Identifica el punto de entrada

Los hackeos de WordPress generalmente entran por:

  • Plugin o tema desactualizado con vulnerabilidad conocida
  • Contraseña débil o reutilizada
  • Credenciales de FTP o hosting comprometidas
  • Tema o plugin pirata (nulled) con código malicioso

Paso 5: Limpia los archivos infectados

Esto requiere acceso FTP o al administrador de archivos del hosting, y saber qué buscar. Busca archivos PHP modificados recientemente en carpetas donde no debería haber código personalizado (wp-includes, wp-admin). Los más comunes son inyecciones de código ofuscado en funciones.php o archivos index.php.

Paso 6: Actualiza absolutamente todo

WordPress core, todos los plugins, el tema. Si hay plugins o temas que no tienen actualización disponible y ya no tienen soporte, eliminalos.

Paso 7: Instala medidas de protección

  • Activa un firewall de aplicación (WAF) como Cloudflare
  • Cambia la URL de acceso al admin (wp-login.php)
  • Activa autenticación de dos factores para administradores
  • Configura backups automáticos y verificados
  • Monitoreo de integridad de archivos

¿Necesitas ayuda urgente?

Si tu sitio está infectado y no sabes por dónde empezar, puedo ayudarte. Ofrezco servicio de rescate WordPress para sitios comprometidos: diagnóstico, limpieza y protección, con comunicación directa en español.

Solicitar ayuda urgente →

¿Tu sitio WordPress fue hackeado?

Ofrezco rescate WordPress urgente: limpieza, recuperación y blindaje.

Ver rescate WordPress urgente →

¿Tu sitio WordPress necesita atención?

Agenda un diagnóstico gratuito de 20 minutos por Zoom. Revisamos velocidad, seguridad, backups y errores en vivo. Sin compromiso, en español.

Solicitar diagnóstico gratuito