WordPress 12 min de lectura

¿Tu WordPress ha sido hackeado? Guía de emergencia

Detectar un hackeo es solo el primer paso. Aprende a limpiar tu WordPress, eliminar el malware y blindar tu sitio contra futuros ataques.

Actualizado: 28 de febrero de 2026

Descubrir que tu WordPress ha sido hackeado es una experiencia alarmante. Tu sitio puede estar mostrando contenido spam, redirigiendo a páginas maliciosas, enviando correos no autorizados o simplemente comportándose de forma extraña. Sea cual sea el síntoma, actuar rápido es fundamental para minimizar el daño.

Cada año millones de sitios WordPress son comprometidos, y la mayoría de los hackeos se deben a vulnerabilidades conocidas en plugins desactualizados, contraseñas débiles o configuraciones de seguridad insuficientes. La buena noticia es que, en la mayoría de los casos, es posible limpiar y recuperar completamente un sitio hackeado.

En esta guía de emergencia te explicamos paso a paso qué hacer desde el momento en que detectas el hackeo hasta que tu sitio queda completamente limpio y protegido contra futuros ataques.

Cómo detectar que tu WordPress ha sido hackeado

Los hackeos en WordPress no siempre son obvios. Mientras que algunos muestran señales claras como contenido spam visible o redirecciones a sitios maliciosos, otros operan de forma silenciosa, creando puertas traseras para uso futuro o inyectando código SEO spam que solo es visible para los motores de búsqueda.

Las señales más comunes incluyen redirecciones a sitios desconocidos, contenido o enlaces que no has creado, caídas de rendimiento repentinas, alertas de Google Search Console sobre contenido malicioso, y la aparición de usuarios administradores desconocidos en tu panel de WordPress.

  • Redirecciones no autorizadas a sitios de terceros
  • Contenido spam, enlaces o páginas que no has creado
  • Usuarios administradores desconocidos en el panel
  • Google muestra advertencia "Este sitio puede dañar tu equipo"
  • Tu hosting ha suspendido la cuenta por actividad maliciosa
  • Archivos desconocidos o modificados recientemente en el servidor
  • Aumento inexplicable en el consumo de recursos del servidor
  • Emails de spam enviados desde tu dominio

Paso 1: Acciones inmediatas de contención

Lo primero es limitar el daño. Si tu hosting no ha suspendido tu cuenta, pon tu sitio en modo mantenimiento o directamente fuera de línea para evitar que los visitantes sean afectados por el malware. Cambia inmediatamente todas las contraseñas: WordPress, FTP, panel de hosting, base de datos y correos electrónicos asociados.

Notifica a tu proveedor de hosting sobre el hackeo. Muchos proveedores tienen protocolos de respuesta ante incidentes y pueden ayudarte a identificar el vector de ataque. Además, revisa los logs de acceso del servidor para determinar cuándo comenzó el hackeo y qué archivos fueron modificados.

Si tienes un backup limpio reciente (anterior al hackeo), considera restaurarlo como la opción más rápida. Sin embargo, necesitarás igualmente identificar y cerrar la vulnerabilidad que permitió el hackeo, o volverá a ocurrir.

Paso 2: Escanear y eliminar el malware

Utiliza herramientas especializadas para escanear tu instalación de WordPress en busca de archivos maliciosos. Servicios como Sucuri SiteCheck pueden escanear tu sitio externamente, mientras que plugins como Wordfence o MalCare realizan escaneos internos más profundos que detectan puertas traseras ocultas.

Revisa manualmente los archivos más comúnmente afectados: wp-config.php, .htaccess, index.php de la raíz, y cualquier archivo PHP dentro de wp-content/uploads (no debería haber archivos PHP en esta carpeta). Busca código ofuscado, funciones como eval(), base64_decode() o cadenas de texto codificadas sospechosas.

Los archivos core de WordPress (wp-admin y wp-includes) deben compararse con los archivos originales de wordpress.org. Cualquier diferencia indica una posible inyección de código. La forma más segura de limpiar estos directorios es reemplazarlos completamente con los archivos originales de la versión correspondiente.

Paso 3: Cerrar las vulnerabilidades

Identificar cómo entraron los atacantes es tan importante como limpiar el malware. Las vulnerabilidades más explotadas son plugins y temas desactualizados con fallos de seguridad conocidos, contraseñas débiles que se adivinan por fuerza bruta y versiones antiguas de PHP con vulnerabilidades conocidas.

Actualiza absolutamente todo: WordPress core, todos los plugins, todos los temas y la versión de PHP del servidor. Elimina cualquier plugin o tema que no uses, incluso si está desactivado, ya que un plugin desactivado pero vulnerable sigue siendo un punto de entrada para los atacantes.

  • Actualizar WordPress, plugins y temas a las últimas versiones
  • Eliminar plugins y temas inactivos o abandonados
  • Cambiar todas las contraseñas con claves fuertes y únicas
  • Regenerar las claves de seguridad (salts) en wp-config.php
  • Implementar autenticación de dos factores para administradores
  • Bloquear la ejecución de PHP en wp-content/uploads
  • Cambiar el prefijo de la base de datos si es el predeterminado wp_

Paso 4: Verificar la limpieza completa

Después de limpiar y asegurar tu sitio, es fundamental verificar que no queden rastros del hackeo. Realiza un segundo escaneo completo con una herramienta diferente a la que usaste inicialmente para asegurarte de que no se ha pasado nada por alto.

Revisa la base de datos en busca de usuarios desconocidos, especialmente con rol de administrador. Comprueba que no haya contenido oculto, redirecciones o código inyectado en las tablas wp_posts, wp_options y wp_usermeta. Los atacantes a menudo crean cuentas de administrador ocultas o añaden código malicioso en opciones de WordPress.

Si Google había marcado tu sitio como peligroso, solicita una revisión de seguridad a través de Google Search Console una vez que hayas verificado que la limpieza es completa. Google examinará tu sitio y, si está limpio, eliminará la advertencia normalmente en 24-72 horas.

Paso 5: Protección contra futuros hackeos

Un sitio que ha sido hackeado una vez es un objetivo más probable para futuros ataques, ya que los atacantes comparten listas de sitios vulnerables. Implementar una estrategia de seguridad sólida no es opcional, es una necesidad tras un incidente.

Instala un plugin de seguridad completo que incluya firewall de aplicación web, escaneo de malware programado, protección contra fuerza bruta y monitorización de integridad de archivos. Configura backups automáticos diarios con retención de al menos 30 días, almacenados en un servicio externo al servidor.

Considera contratar un servicio profesional de mantenimiento que monitorice tu sitio continuamente, aplique actualizaciones de seguridad de forma inmediata y realice auditorías periódicas. La inversión en prevención es siempre inferior al coste de recuperación tras un hackeo.

Puntos clave

  • Actúa rápidamente: cambia todas las contraseñas y pon el sitio offline como primera medida de contención.
  • Utiliza herramientas especializadas para escanear en busca de malware y puertas traseras ocultas.
  • Reemplaza los archivos core de WordPress con los originales para eliminar posibles inyecciones de código.
  • Cerrar la vulnerabilidad que causó el hackeo es tan importante como limpiar el malware.
  • Implementa autenticación de dos factores, firewall WAF y backups diarios tras la limpieza.
  • Un servicio de mantenimiento profesional puede prevenir futuros hackeos con monitorización continua.

¿Tu WordPress ha sido hackeado?

Nuestro equipo de emergencia limpia sitios WordPress hackeados en menos de 24 horas. Eliminamos el malware, cerramos las vulnerabilidades y configuramos protección avanzada para que no vuelva a ocurrir.

Solicitar presupuesto
Contratar mantenimiento