Tu sitio WordPress muestra contenido extraño, Google lo marca como peligroso, o tu hosting te suspendió la cuenta. Estas son señales claras de que algo anda mal. El pánico es normal, pero hay pasos concretos que puedes seguir.
Cómo saber si tu WordPress fue hackeado
- Tu sitio muestra anuncios, enlaces o contenido que no pusiste tú
- Google Search Console te envía una alerta de contenido malicioso
- Los visitantes ven una advertencia de “sitio peligroso” en el navegador
- Tu hosting te suspende la cuenta por actividad sospechosa
- Ves usuarios administradores que no creaste tú
- Tu sitio redirige a otras páginas automáticamente
Paso 1: No entres en pánico, pero actúa rápido
Cada hora que pasa, el daño puede crecer: más archivos infectados, más páginas indexadas por Google con contenido malicioso, más correos de spam enviados desde tu servidor.
Paso 2: Cambia todas las contraseñas de inmediato
Usuario administrador de WordPress, panel de hosting (cPanel), base de datos, FTP y correo asociado. Usa contraseñas largas y únicas para cada uno.
Paso 3: Restaura desde un backup limpio (si tienes uno)
Esta es la razón #1 por la que los backups son no negociables. Si tienes un backup reciente anterior al hackeo, restaurarlo es la opción más rápida y confiable. Si no tienes backup… aprende la lección y nunca vuelvas a estar sin uno.
Paso 4: Identifica el punto de entrada
Los hackeos de WordPress generalmente entran por:
- Plugin o tema desactualizado con vulnerabilidad conocida
- Contraseña débil o reutilizada
- Credenciales de FTP o hosting comprometidas
- Tema o plugin pirata (nulled) con código malicioso
Paso 5: Limpia los archivos infectados
Esto requiere acceso FTP o al administrador de archivos del hosting, y saber qué buscar. Busca archivos PHP modificados recientemente en carpetas donde no debería haber código personalizado (wp-includes, wp-admin). Los más comunes son inyecciones de código ofuscado en funciones.php o archivos index.php.
Paso 6: Actualiza absolutamente todo
WordPress core, todos los plugins, el tema. Si hay plugins o temas que no tienen actualización disponible y ya no tienen soporte, eliminalos.
Paso 7: Instala medidas de protección
- Activa un firewall de aplicación (WAF) como Cloudflare
- Cambia la URL de acceso al admin (wp-login.php)
- Activa autenticación de dos factores para administradores
- Configura backups automáticos y verificados
- Monitoreo de integridad de archivos
¿Necesitas ayuda urgente?
Si tu sitio está infectado y no sabes por dónde empezar, puedo ayudarte. Ofrezco servicio de rescate WordPress para sitios comprometidos: diagnóstico, limpieza y protección, con comunicación directa en español.