WordPress hackeado: señales claras y qué hacer en las primeras 24 horas (sin empeorarlo)

23 de febrero de 2026
Seguridad web wordpress

Si tu WordPress está hackeado, lo normal es entrar en pánico y tocar cosas al azar. Y justo eso suele empeorarlo: borras archivos que no debes, rompes la web, o dejas la puerta abierta y vuelve a infectarse.

Aquí tienes un plan realista para las primeras 24 horas:

  • señales claras de infección,

  • qué hacer (en orden),

  • qué NO hacer,

  • y cómo evitar que vuelva a pasar.

Si tu web está infectada, caída o con redirecciones raras y necesitas actuar rápido: Soluciones urgentes (24h).

Señales típicas de un WordPress hackeado

No hace falta que “salga un mensaje de hack”. A veces es sutil. Señales frecuentes:

  1. Redirecciones raras a páginas de spam (sobre todo en móvil).

  2. Aviso en Search Console (“sitio hackeado”, “spam”, “páginas detectadas…”).

  3. Contenido extraño: enlaces ocultos, textos en chino, viagra/casino.

  4. Web lenta de golpe o picos de CPU/recursos en hosting.

  5. Usuarios admin nuevos que tú no has creado.

  6. Plugins/temas desconocidos que aparecen solos.

  7. Emails raros: la web envía spam o deja de enviar los emails normales.

  8. Archivos modificados recientemente sin motivo.

Si te suena alguno, asume que puede haber infección y actúa con método.

Objetivo de las primeras 24 horas

En orden:

  1. Contener (que no siga haciendo daño).

  2. Recuperar funcionamiento mínimo (si afecta ventas/contactos).

  3. Limpiar bien (no solo “ocultar síntomas”).

  4. Cerrar puertas para que no vuelva a entrar.

Plan de acción en 24h (paso a paso)

Paso 1 — No toques nada “a lo bruto” (10 minutos)

Evita esto:

  • “Borro plugins al azar”

  • “Restauro un backup antiguo sin mirar”

  • “Cambio 20 cosas y ya veré”

  • “Instalo 3 plugins de seguridad y cruzo dedos”

Primero, confirma señales y prepara una salida.

Paso 2 — Haz una copia completa (obligatorio)

Antes de limpiar:

  • copia de archivos (WordPress completo)

  • copia de base de datos

Aunque esté infectado, esta copia sirve como “foto” para poder volver atrás si rompes algo.

Paso 3 — Cambia contraseñas (pero con cabeza)

Cambia:

  • WordPress (admins)

  • hosting/panel

  • FTP/SFTP

  • base de datos (si tienes acceso)

  • correo del dominio (si lo usas)

Y revisa:

  • que no haya usuarios admin desconocidos (elimínalos).

  • que los admins reales tengan contraseñas fuertes.

Paso 4 — Revisa lo más crítico: ventas / formularios

Si tienes WooCommerce o leads:

  • prueba página de pago / carrito / compra (si aplica)

  • prueba formularios

  • prueba que la web no redirige raro

Si hay pérdida de ventas o la web está caída: esto es urgencia real → entra por Soluciones urgentes (24h) para diagnóstico + prioridades.

Paso 5 — Localiza el “punto de entrada”

Casi siempre es:

  • plugin vulnerable/desactualizado

  • tema desactualizado

  • credenciales filtradas

  • permisos de archivos mal

  • hosting débil o sin aislamiento

No basta con “limpiar”. Si no cierras el punto de entrada, vuelve.

Paso 6 — Limpieza correcta (sin inventos)

La limpieza “seria” suele incluir:

  1. Actualizar WordPress (core) a la última versión estable.

  2. Reinstalar core limpio (sobrescribir archivos del núcleo, sin tocar wp-content).

  3. Revisar wp-content:

    • plugins: borrar lo que no uses o no sea fiable

    • themes: dejar solo el tema activo + uno de reserva

    • uploads: buscar archivos raros (php en uploads, nombres raros)

  4. Buscar código inyectado:

    • functions.php, wp-config.php, index.php, .htaccess

    • archivos recientes con código ofuscado (base64, eval, gzinflate, etc.)

  5. Base de datos:

    • opciones/autoload extraño

    • enlaces ocultos inyectados

    • usuarios sospechosos

Esto no es “instalo un plugin y ya”. Es revisión con criterio.

Paso 7 — Endurecimiento mínimo (para que no vuelva)

Checklist mínimo:

  • eliminar usuario “admin” si existe

  • limitar intentos de login / 2FA (si puedes)

  • desactivar editor de archivos desde wp-admin

  • permisos correctos en archivos/carpetas

  • backups automáticos

  • actualizaciones controladas

  • WAF/Firewall si tu hosting lo permite

Aquí encaja perfecto tu servicio de Mantenimiento WordPress + mejoras: es la forma de que no se repita.

Paso 8 — Revisión final (prueba de realidad)

Después de limpiar:

  • prueba navegación en móvil + PC

  • prueba páginas clave

  • revisa Search Console (si hay avisos)

  • revisa si se generan páginas spam nuevas

Si has tenido spam indexado, normalmente toca:

  • esperar a recrawl

  • pedir reindexación

  • y en casos graves, limpieza + re-evaluación en Search Console

Qué NO hacer (porque lo empeora)

  • Restaurar backups antiguos sin revisar: puedes volver a meter la infección.

  • Cambiar 20 plugins “de seguridad” sin saber: más peso, más conflicto.

  • Ignorar usuarios/admins: te vuelven a entrar.

  • Dejar el mismo plugin vulnerable instalado “porque lo necesito”.

¿Cómo se evita que vuelva a pasar?

Tres pilares:

  1. Actualizaciones con control + copias verificadas

  2. Plugins mínimos y fiables

  3. Mantenimiento continuo (si es tienda o negocio activo)

Si quieres olvidarte de sustos: Mantenimiento WordPress + mejoras.

CTA final (enlace interno)

Si necesitas actuar rápido o no quieres perder horas:

Preguntas frecuentes (FAQ)

  1. ¿Cómo sé seguro si está hackeado?
    Si hay redirecciones raras, spam indexado, usuarios admin desconocidos o archivos modificados sin motivo, es muy probable.

  2. ¿Basta con pasar un escáner y ya?
    No siempre. Un escáner ayuda, pero muchas infecciones requieren limpieza manual y cerrar el punto de entrada.

  3. ¿Restauro una copia y listo?
    Solo si es una copia limpia y reciente. Aun así hay que revisar el punto de entrada o volverá.

  4. ¿Puede ser por un plugin?
    Sí. Es una de las causas más frecuentes, sobre todo si está desactualizado o abandonado.

  5. ¿Puede afectar al SEO?
    Sí. Spam indexado, redirecciones y malware pueden bajar tráfico y confianza. Hay que limpiar y dejar que Google recrawlee.

  6. ¿Qué hago primero si estoy perdiendo ventas?
    Contener y recuperar funcionamiento mínimo (páginas clave). Eso es urgencia.

  7. ¿Necesitas accesos para arreglarlo?
    Normalmente sí: WP admin y hosting (panel/FTP) para revisar archivos y logs.

  8. ¿Cuánto tarda en “desaparecer” de Google el spam indexado?
    Depende del caso. Tras limpiar, suele tardar días/semanas. A veces hay que pedir reindexación.

  9. ¿Es buena idea ocultar la web mientras limpio?
    A veces sí (modo mantenimiento) si está haciendo daño o redirige spam. Depende del impacto.

  10. ¿Cómo lo evito en el futuro?
    Mantenimiento con revisiones, copias verificadas, plugins mínimos y seguridad básica.

  11. ¿WooCommerce es más vulnerable?
    No por sí mismo, pero suele llevar más plugins (pagos/envíos) y eso aumenta superficie si no se mantiene bien.

  12. ¿Cuándo tiene sentido contratar mantenimiento mensual?
    Si la web es negocio activo (leads/ventas). Sale más barato que apagar fuegos.