Me han hackeado la web WordPress: qué hacer paso a paso sin empeorar el problema

Que te hackeen una web WordPress es una de esas situaciones que nadie espera hasta que ocurre.

Un día entras en tu página y algo no va bien. La web redirige a sitios extraños, Google muestra un aviso de seguridad, el hosting te avisa de malware, aparecen páginas que tú no has creado o directamente no puedes acceder al administrador.

En ese momento es normal entrar en pánico y buscar en Google o preguntar a una IA algo como:

“Me han hackeado la web WordPress, ¿qué hago?”

La respuesta más importante es esta: no empieces a borrar archivos al azar, no instales plugins de seguridad sin hacer una copia previa y no restaures cualquier backup sin comprobar si realmente está limpio.

Una web WordPress hackeada puede recuperarse, pero hay que hacerlo con orden. No se trata solo de “quitar el virus”. Se trata de entender qué ha pasado, contener el daño, limpiar la web, cerrar la puerta de entrada, revisar Google y evitar que el problema vuelva a repetirse.

En esta guía te explicamos qué hacer paso a paso si tu WordPress ha sido hackeado, qué errores debes evitar y cuándo conviene pedir ayuda profesional.

Respuesta rápida: qué hacer si tu WordPress ha sido hackeado

Si acabas de descubrir que tu web está infectada, estos son los pasos básicos que deberías seguir:

• No borres archivos al azar.
• No instales plugins de seguridad sin hacer copia antes.
• Pon la web en mantenimiento si muestra malware o redirecciones.
• Haz una copia completa de archivos y base de datos.
• Cambia contraseñas principales.
• Revisa usuarios administradores desconocidos.
• Analiza archivos, plugins, tema y base de datos.
• Restaura una copia limpia solo si estás seguro de que es anterior al hackeo.
• Actualiza WordPress, plugins y tema.
• Revisa Google Search Console antes de pedir revisión.

La prioridad debe ser esta: contener, analizar, limpiar, proteger y comprobar.

Si haces las cosas deprisa, puedes borrar información importante, restaurar una copia infectada o dejar activa la misma vulnerabilidad por la que entraron.

Lo más importante: limpiar WordPress no es solo “quitar el virus”

Cuando alguien dice “mi WordPress tiene un virus”, normalmente piensa que basta con pasar un escáner, borrar un archivo y volver a publicar la web.

Pero un hackeo no funciona siempre así.

En muchos casos, el atacante no solo infecta un archivo. Puede crear usuarios administradores, modificar la base de datos, alterar el archivo .htaccess, esconder código en carpetas del tema, colocar PHP dentro de uploads, cambiar redirecciones, crear páginas spam o dejar una puerta trasera para volver a entrar más adelante.

Por eso es tan importante entender tres ideas.

Recuperar la web no significa que esté segura

Una web puede volver a cargar bien y seguir comprometida.

Puede que el diseño se vea correcto, que el menú funcione y que el panel de WordPress abra con normalidad, pero que todavía existan archivos sospechosos, usuarios ocultos, tareas programadas o fragmentos de código inyectados.

La web no está limpia porque “se ve bien”. Está limpia cuando se han revisado los puntos críticos.

Restaurar una copia no siempre elimina el problema

Restaurar una copia de seguridad puede ser una buena solución, pero solo si esa copia es anterior al ataque.

Si no sabes cuándo empezó la infección, podrías restaurar una copia que ya estaba infectada. Y aunque la copia sea limpia, si mantienes instalado el plugin vulnerable, el tema comprometido o las mismas contraseñas, el problema puede repetirse.

Una copia de seguridad ayuda a recuperar la web, pero no sustituye una revisión de seguridad.

Si no cierras la puerta de entrada, el malware puede volver

Muchos casos de reinfección ocurren porque se elimina el malware visible, pero no se corrige la causa.

La entrada puede haber sido:

• Un plugin vulnerable.
• Un tema abandonado.
• Una contraseña débil.
• Un usuario administrador robado.
• Un acceso FTP comprometido.
• Un archivo malicioso dentro de la web.
• Una instalación antigua.
• Una mala configuración del hosting.
• Un plugin premium sin actualizar.

Por eso el objetivo no es solo limpiar. El objetivo es limpiar y cerrar la puerta.

Por qué una web WordPress puede ser hackeada

WordPress es una plataforma muy usada, y precisamente por eso también es un objetivo habitual. La mayoría de ataques no ocurren porque WordPress sea “malo”, sino porque muchas webs se quedan sin mantenimiento, con plugins antiguos, plantillas sin actualizar o accesos poco seguros.

Plugins vulnerables o sin actualizar

Los plugins son una de las causas más habituales de problemas de seguridad en WordPress.

Un plugin puede tener una vulnerabilidad y permitir que un atacante suba archivos, cree usuarios, modifique contenido, acceda a datos o ejecute código. Esto puede ocurrir tanto con plugins gratuitos como con plugins premium.

El riesgo aumenta cuando:

• El plugin no se actualiza.
• Lleva años abandonado.
• Se descargó desde una fuente no oficial.
• No tiene licencia activa.
• Está desactivado pero sigue instalado.
• Se usa para funciones sensibles: formularios, mapas, membresías, pasarelas de pago, áreas privadas, reservas o constructores visuales.

Un plugin desactivado no siempre es inofensivo. Si sus archivos siguen en el servidor y existe una vulnerabilidad explotable, puede seguir siendo un problema.

Temas antiguos, nulled o abandonados

También puede haber problemas en el tema de WordPress.

Esto ocurre especialmente con plantillas antiguas, temas modificados sin control, temas descargados de webs no oficiales o versiones “nulled”, es decir, plantillas premium pirateadas.

Un tema puede contener archivos infectados, funciones inseguras o código oculto. Además, si el constructor visual o el tema no están actualizados, pueden aparecer errores al recuperar la web.

Contraseñas débiles o reutilizadas

Muchas intrusiones se producen por credenciales inseguras.

Ejemplos habituales:

• Contraseñas demasiado simples.
• La misma contraseña usada en varios servicios.
• Usuarios tipo admin.
• Cuentas de antiguos colaboradores.
• Accesos compartidos entre varias personas.
• Correos comprometidos.
• Falta de doble factor de autenticación.

Cuando una contraseña se filtra o se reutiliza, el atacante puede acceder sin necesidad de explotar una vulnerabilidad técnica.

Accesos FTP, hosting o base de datos comprometidos

El problema no siempre está dentro de WordPress.

También hay que revisar:

• Panel del hosting.
• FTP o SFTP.
• Base de datos.
• Cuentas de correo.
• Accesos de proveedores.
• Usuarios técnicos antiguos.
• Copias de seguridad expuestas.
• Subdominios o instalaciones olvidadas.

Si limpias WordPress pero el acceso FTP sigue comprometido, el atacante podría volver a subir archivos maliciosos.

Falta de mantenimiento y copias de seguridad

Una web sin mantenimiento es más vulnerable.

Si no se actualizan plugins, no se revisan usuarios, no hay copias externas y nadie comprueba Search Console, el problema puede detectarse tarde.

En seguridad web, cuanto más tarde se detecta una infección, más difícil suele ser limpiar todo el daño.

Cómo saber si tu WordPress está hackeado

No todos los hackeos se ven a simple vista. Algunos atacantes intentan ocultar la infección para que solo la vean los usuarios que llegan desde Google, los visitantes móviles o los bots de buscadores.

Estos son los síntomas más habituales.

La web redirige a páginas extrañas

Si tu web redirige a casinos, páginas de apuestas, descargas, contenido adulto, falsas promociones o dominios que no reconoces, es una señal clara de alerta.

A veces la redirección solo ocurre:

• Desde móvil.
• Desde determinados navegadores.
• Desde resultados de Google.
• En modo incógnito.
• En usuarios no conectados.
• En determinadas horas.

Por eso conviene probar la web desde varios dispositivos y no fiarse solo de cómo la ves tú como administrador.

Aparecen páginas que no has creado

Otro síntoma frecuente es encontrar en Google páginas que nunca has publicado.

Puedes buscar:

site:tudominio.com

Y revisar si aparecen resultados extraños.

Algunas infecciones crean cientos o miles de URLs con textos en otros idiomas, productos falsos, farmacias, apuestas, casinos o marcas conocidas.

Esto no solo es un problema de seguridad. También puede perjudicar el SEO de la web.

Google muestra “este sitio puede haber sido hackeado”

Si Google detecta contenido malicioso, phishing, software no deseado o señales de sitio comprometido, puede mostrar avisos en los resultados de búsqueda o en el navegador.

Esto afecta mucho a la confianza del usuario. Aunque la web siga funcionando, muchas personas no entrarán si ven un aviso de seguridad.

Search Console muestra problemas de seguridad

Google Search Console puede mostrar avisos relacionados con:

• Malware.
• Páginas engañosas.
• Contenido hackeado.
• Inyección de código.
• URLs sospechosas.
• Descargas peligrosas.
• Phishing.

Si tienes Search Console configurado, es uno de los primeros lugares que deberías revisar.

Hay usuarios administradores desconocidos

Después de un hackeo, puede aparecer un usuario administrador que nadie reconoce.

También puede ocurrir que:

• Un usuario legítimo cambie de correo sin explicación.
• Aparezcan cuentas con nombres raros.
• Se creen usuarios nuevos en fechas recientes.
• Haya administradores antiguos que ya no deberían tener acceso.

Si encuentras un usuario sospechoso, no basta con eliminarlo. Hay que investigar cuándo se creó y qué pudo modificar.

El hosting avisa de malware o consumo excesivo

Muchos proveedores de hosting tienen sistemas de detección. Pueden avisarte de archivos infectados, consumo anormal de CPU, envío masivo de correos o procesos sospechosos.

A veces incluso bloquean la web temporalmente para evitar que el problema afecte al servidor o a otros sitios.

No ignores estos avisos. Son una pista importante.

El diseño se rompe o el panel no carga

Un hackeo también puede provocar errores técnicos:

• Pantalla blanca.
• Error crítico de WordPress.
• Fallos en archivos principales.
• Problemas de memoria PHP.
• Panel de administración inaccesible.
• Constructor visual roto.
• Plantillas desconfiguradas.
• Menús o cabeceras que desaparecen.
• Formularios que dejan de funcionar.

No todos estos errores significan hackeo, pero si aparecen junto a redirecciones, malware o avisos del hosting, hay que revisar la web a fondo.

Primeros 15 minutos: qué hacer para no empeorar la situación

Los primeros minutos son clave.

El objetivo no es arreglarlo todo de golpe. El objetivo es no empeorar el problema.

⬇️ Descarga el checklist de emergencia para WordPress hackeado

Si tu web WordPress ha sido hackeada, lo primero es actuar con orden y no tocar archivos sin una copia previa.

Hemos preparado un checklist rápido para que puedas revisar los puntos más importantes: contener el problema, hacer copia, revisar accesos, detectar señales de infección, comprobar Google Search Console y saber cuándo pedir ayuda profesional.

Descarga gratis el checklist de emergencia para una web WordPress hackeada y tenlo a mano antes de empezar a hacer cambios.

1. No borres nada sin revisar

Puede parecer tentador borrar archivos raros, eliminar plugins o tocar el .htaccess, pero si no sabes exactamente qué haces, puedes romper la web o borrar pruebas importantes.

Antes de eliminar, conviene guardar una copia.

2. Activa mantenimiento o bloquea temporalmente la web

Si la web muestra malware, redirecciones o contenido peligroso, lo más prudente es ponerla en mantenimiento o bloquear temporalmente el acceso público.

En una web corporativa puede bastar con una pantalla informativa. En una tienda online, si hay riesgo en el proceso de compra, puede ser necesario pausar pedidos.

Es mejor detener la web unas horas que permitir que usuarios o clientes naveguen por un sitio comprometido.

3. Haz una copia del estado actual

Aunque la web esté infectada, conviene hacer una copia completa antes de tocar nada.

Esa copia debería incluir:

• Archivos.
• Base de datos.
• Carpeta wp-content.
• Plugins.
• Tema activo.
• Archivo .htaccess.
• Archivo wp-config.php.
• Logs del servidor, si están disponibles.

Esta copia puede servir para analizar el origen del problema o recuperar contenido si algo falla durante la limpieza.

4. Anota síntomas, fechas y avisos recibidos

Guarda toda la información posible:

• Cuándo empezó el problema.
• Qué aviso dio el hosting.
• Qué muestra Google.
• Qué URLs raras aparecen.
• Qué plugins se actualizaron recientemente.
• Qué usuarios tienen acceso.
• Qué cambios se hicieron antes del fallo.
• Qué mensajes de error aparecen.

Estos datos ayudan a reconstruir el caso.

5. Evita seguir trabajando sobre la web infectada en producción

Si la web está comprometida, lo mejor es no hacer pruebas directamente sobre la versión pública.

Trabajar en producción puede afectar a usuarios, a Google y a la recuperación técnica. Siempre que sea posible, conviene crear un entorno separado.

Caso real anonimizado: cómo se debe recuperar una web WordPress hackeada

Hace poco nos encontramos con un caso real de una web WordPress comprometida. No mencionaremos el nombre del proyecto, pero el proceso sirve para entender cómo debería abordarse una recuperación de este tipo.

La situación era delicada: había sospecha de infección, errores internos, plugins que debían revisarse y riesgo de arrastrar malware si se restauraba la web sin control.

El error habría sido entrar en pánico y empezar a tocar la instalación principal sin una estrategia. En lugar de eso, se siguió un proceso ordenado.

El problema: una web comprometida, errores internos y riesgo de arrastrar malware

Cuando una web WordPress ha sido hackeada, no siempre basta con “quitar un archivo malo”.

Puede haber varios problemas a la vez:

• Archivos modificados.
• Plugins vulnerables.
• Usuarios no deseados.
• Errores en WordPress.
• Problemas de tema o constructor.
• Copias de seguridad que no sabemos si están limpias.
• Riesgo de que Google indexe páginas o contenidos no deseados.

En este tipo de casos, la prioridad es recuperar una versión funcional y limpia sin arrastrar la infección.

La decisión correcta: no trabajar directamente sobre la web infectada

El primer paso fue no hacer la recuperación directamente sobre la web pública.

Cuando una web está infectada, trabajar sobre producción puede ser peligroso. Puedes romper la web, mostrar errores a los usuarios, indexar una versión de pruebas o no saber exactamente qué cambios se han hecho.

Por eso, una recuperación seria debe partir de una copia o entorno controlado.

Crear un entorno de recuperación separado y bloqueado a buscadores

Se creó un entorno separado para trabajar la recuperación. Este entorno debía estar bloqueado a buscadores para evitar que Google rastreara o indexara la versión de pruebas.

Este punto es importante: cuando se trabaja en una copia de una web, no queremos crear contenido duplicado ni mostrar al público una versión incompleta.

Un staging de recuperación sirve para:

• Restaurar copias.
• Revisar archivos.
• Probar actualizaciones.
• Comprobar errores.
• Limpiar sin afectar a la web pública.
• Validar que todo funciona antes de publicar.

Restaurar una copia anterior al ataque sin confiarse

Se utilizó una copia anterior al problema como punto de partida.

Pero no se dio por hecho que la web ya estaba limpia. Después de restaurar, hubo que comprobar plugins, archivos, base de datos, usuarios y configuración.

Este punto es fundamental: restaurar una copia no es el final del trabajo, es solo una fase del proceso.

Revisar archivos críticos antes de volver a publicar la web

Se revisaron archivos y zonas sensibles de WordPress.

Algunos archivos de WordPress pueden sonar raros a quien no está acostumbrado, pero son legítimos. Otros pueden usar nombres parecidos para ocultar código malicioso.

Por eso hay que saber diferenciar entre archivos propios del sistema y archivos sospechosos.

En una recuperación hay que revisar especialmente:

• Archivos de la raíz.
• wp-config.php.
• .htaccess.
• Carpeta wp-content.
• Plugins.
• Temas.
• uploads.
• mu-plugins.
• Archivos modificados recientemente.

Detectar plugins vulnerables o innecesarios

También se revisaron los plugins instalados.

En el caso real había plugins que debían analizarse con especial cuidado porque podían suponer un riesgo. Algunos plugins, aunque parezcan útiles, pueden convertirse en una puerta de entrada si tienen vulnerabilidades, si no se actualizan o si dependen de licencias externas abandonadas.

La decisión correcta es eliminar lo que no se usa y revisar con lupa lo que sí se necesita.

Corregir errores posteriores de tema, memoria, plantillas o constructor visual

Después de una restauración limpia pueden aparecer errores técnicos.

Esto puede incluir:

• Problemas de memoria PHP.
• Fallos en el tema.
• Plantillas que no cargan.
• Constructor visual desconfigurado.
• Errores en cabecera o pie.
• Plugins que dejan de funcionar tras actualizar.
• Enlaces permanentes que necesitan regenerarse.

Estos problemas no significan necesariamente que la web siga infectada. Muchas veces son consecuencias normales de restaurar, actualizar y limpiar una instalación.

Lo importante es resolverlos después de asegurar la base.

Reforzar la seguridad antes de devolver la web al cliente

Antes de dar el trabajo por terminado, hay que reforzar la seguridad.

En este caso, se aplicaron medidas como:

• Revisión de usuarios.
• Cambio de accesos.
• Instalación o configuración de seguridad.
• Escaneo de archivos.
• Revisión de plugins.
• Control de acceso al login.
• Comprobaciones posteriores.

La recuperación termina cuando la web vuelve a funcionar, pero también cuando queda más protegida que antes.

Cómo recuperar una web WordPress hackeada de forma segura

Una vez controlada la situación, toca recuperar la web de forma ordenada.

Paso 1: trabajar en una copia o entorno de pruebas

Siempre que sea posible, no limpies directamente sobre la web pública.

Un entorno de pruebas permite:

• Restaurar sin miedo.
• Comprobar versiones.
• Revisar errores.
• Eliminar malware.
• Actualizar plugins.
• Probar el diseño.
• Validar que todo funciona.
• Evitar que Google rastree cambios temporales.

Este entorno debe estar bloqueado a buscadores y protegido con contraseña si es necesario.

Paso 2: localizar archivos sospechosos

La limpieza técnica pasa por revisar archivos.

No basta con mirar la pantalla de WordPress. Hay que entrar al servidor y comprobar qué se ha modificado.

Archivos con nombres parecidos a WordPress pero que no son legítimos

Algunos malware usan nombres que parecen normales para pasar desapercibidos.

Por ejemplo, archivos PHP con nombres similares a archivos del núcleo, pero ubicados donde no deberían estar. También pueden aparecer archivos con combinaciones aleatorias, nombres en inglés técnico o fechas recientes.

Aquí conviene comparar con una instalación limpia de WordPress.

PHP dentro de wp-content/uploads

La carpeta wp-content/uploads suele contener imágenes, PDFs, vídeos y otros archivos multimedia.

No es normal encontrar archivos PHP dentro de carpetas de imágenes. Si aparecen, hay que revisarlos con especial cuidado.

Archivos modificados recientemente

Ordenar los archivos por fecha de modificación puede ayudar a detectar cambios sospechosos.

Si aparecen archivos modificados en la fecha del ataque o en días cercanos, conviene analizarlos.

Revisión de mu-plugins

La carpeta mu-plugins contiene plugins de uso obligatorio que se cargan automáticamente.

Es una ubicación delicada porque puede pasar desapercibida. Si hay archivos ahí que nadie reconoce, hay que revisarlos.

Revisión de .htaccess

El archivo .htaccess puede controlar redirecciones, reglas de acceso y funcionamiento de URLs.

Muchos hackeos modifican este archivo para redirigir visitantes o inyectar reglas sospechosas.

Revisión de wp-config.php

El archivo wp-config.php contiene datos críticos de la instalación.

Hay que comprobar que no tenga código añadido, llamadas externas, inclusiones sospechosas o modificaciones que no correspondan a la configuración normal de la web.

Paso 3: revisar usuarios y permisos

Después de revisar archivos, hay que revisar accesos.

Usuarios administradores desconocidos

Busca usuarios administradores que no reconozcas.

También revisa:

• Fecha de creación.
• Correo asociado.
• Nombre de usuario.
• Actividad reciente.
• Si hay usuarios antiguos que ya no deberían tener acceso.

Accesos FTP o SFTP

Cambia las contraseñas FTP/SFTP y elimina cuentas que no se usen.

Si el atacante entró por FTP, limpiar WordPress no será suficiente.

Usuarios de base de datos

Revisa el usuario de base de datos, sus permisos y la contraseña.

En algunos casos conviene cambiar la contraseña de la base de datos y actualizarla correctamente en wp-config.php.

Accesos al hosting

También hay que cambiar el acceso al panel del hosting.

Si alguien tiene acceso al hosting, puede modificar archivos, crear cuentas FTP, tocar bases de datos o restaurar copias infectadas.

Paso 4: restaurar una copia limpia, si existe

Si hay una copia de seguridad anterior al ataque, puede ser el camino más rápido.

Pero hay que saber elegir bien.

Por qué restaurar una copia no siempre soluciona el hackeo

Restaurar una copia puede fallar por varias razones:

• La copia ya estaba infectada.
• El plugin vulnerable sigue instalado.
• Las contraseñas siguen siendo las mismas.
• La base de datos conserva código inyectado.
• El atacante dejó una puerta trasera.
• No se actualizaron tema y plugins después de restaurar.

Restaurar es útil, pero no es una solución completa por sí sola.

Qué comprobar antes de volver a poner la web online

Antes de publicar de nuevo la web, comprueba:

• Que no hay redirecciones.
• Que no hay usuarios sospechosos.
• Que los plugins están actualizados.
• Que el tema está actualizado.
• Que no hay archivos PHP en uploads.
• Que Search Console no muestra problemas activos.
• Que no aparecen páginas raras en Google.
• Que el formulario funciona.
• Que el login está protegido.
• Que el hosting no detecta malware.

Paso 5: reinstalar, actualizar y eliminar lo innecesario

Una buena recuperación implica reducir superficie de ataque.

WordPress core

Conviene reinstalar el núcleo de WordPress desde una fuente limpia si hay dudas sobre archivos modificados.

Tema activo

El tema debe estar actualizado y proceder de una fuente fiable.

Si hay un tema hijo, también conviene revisar sus archivos.

Constructor visual

Si la web usa un constructor visual, como Divi, Elementor u otro sistema, hay que comprobar que esté actualizado y que no se hayan roto plantillas globales, cabeceras, pies o layouts.

Plugins imprescindibles

Mantén solo los plugins necesarios.

Cada plugin adicional es una posible fuente de problemas, consumo y mantenimiento.

Plugins desactivados o abandonados

Elimina plugins desactivados, antiguos o sin uso.

No basta con desactivarlos. Si no se necesitan, lo mejor es borrarlos.

Paso 6: cambiar credenciales y cerrar sesiones antiguas

Después de limpiar o restaurar, cambia accesos.

Contraseñas de WordPress

Todos los administradores deben cambiar contraseña.

Usa claves largas, únicas y difíciles de adivinar.

Contraseñas de hosting

Cambia el acceso al panel del servidor o hosting.

Contraseñas FTP/SFTP

Cambia o elimina accesos FTP antiguos.

Contraseña de base de datos

Si hay sospecha de compromiso, cambia la contraseña de la base de datos y actualiza correctamente wp-config.php.

Claves SALT de WordPress

Regenerar las claves SALT de WordPress ayuda a cerrar sesiones antiguas y obliga a los usuarios a iniciar sesión de nuevo.

Esto es importante si no sabes si alguien pudo tener una sesión activa.

Paso 7: escanear la web y verificar manualmente

Los plugins de seguridad y escáneres ayudan, pero no deberían ser la única medida.

Qué puede detectar un plugin de seguridad

Un plugin de seguridad puede detectar:

• Archivos modificados.
• Malware conocido.
• Puertas traseras comunes.
• Cambios en el núcleo.
• Intentos de login.
• Usuarios sospechosos.
• Vulnerabilidades conocidas en plugins.
• Reglas peligrosas.

Qué puede no detectar un escáner automático

Un escáner puede no detectar:

• Código muy ofuscado.
• Malware nuevo.
• Cambios en base de datos.
• Usuarios creados de forma legítima pero maliciosa.
• Redirecciones condicionales.
• Infecciones que solo se activan desde Google.
• Problemas en el hosting.

Por qué hay que revisar también base de datos y archivos

El malware puede estar en archivos o en base de datos.

En base de datos puede aparecer dentro de:

• Entradas.
• Páginas.
• Widgets.
• Opciones del tema.
• Opciones de plugins.
• Menús.
• Scripts añadidos.
• Usuarios.
• Redirecciones.

Una limpieza completa debe revisar ambas partes.

Qué hacer si tu tienda WooCommerce ha sido hackeada

Si la web hackeada es una tienda online, hay que actuar con más cuidado todavía.

Una tienda WooCommerce puede tener pedidos, clientes, métodos de pago, correos automáticos, cupones, productos y datos sensibles.

Detener temporalmente pedidos si hay riesgo

Si sospechas que el checkout está comprometido, que hay redirecciones o que se han modificado métodos de pago, es mejor pausar pedidos.

Perder unas horas de venta es menos grave que permitir compras en una tienda infectada.

Revisar pasarelas de pago y plugins de checkout

Comprueba:

• Stripe.
• PayPal.
• Redsys.
• Transferencia bancaria.
• Contra reembolso.
• Plugins de checkout.
• Plugins de recuperación de carrito.
• Campos personalizados.
• Correos automáticos.
• Claves API.
• Cuentas conectadas.

Hay que verificar que nadie ha cambiado datos de cobro, textos del checkout o integraciones críticas.

Comprobar pedidos, usuarios y correos sospechosos

Revisa:

• Pedidos recientes.
• Usuarios nuevos.
• Clientes sospechosos.
• Administradores creados recientemente.
• Cupones creados sin autorización.
• Correos enviados desde WooCommerce.
• Cambios en estados de pedido.

Revisar si se han modificado productos, enlaces o métodos de pago

También hay que comprobar si se han cambiado:

• Descripciones de productos.
• Enlaces externos.
• Imágenes.
• Precios.
• Stock.
• Categorías.
• Slugs.
• Métodos de envío.
• Métodos de pago.

Un ataque a una tienda online no siempre busca romper la web. A veces busca desviar pagos, insertar enlaces o capturar datos.

Recuperar la confianza antes de volver a vender

Antes de reabrir una tienda WooCommerce, comprueba:

• Que el checkout funciona.
• Que los pagos llegan a la cuenta correcta.
• Que no hay redirecciones.
• Que los correos llegan bien.
• Que Search Console no muestra problemas.
• Que el hosting no detecta malware.
• Que los plugins críticos están actualizados.
• Que los usuarios están revisados.

Qué hacer con Google después de limpiar una web hackeada

Un hackeo puede afectar al SEO de muchas formas.

Puede provocar pérdida de clics, avisos de seguridad, páginas spam indexadas, errores 404, caída de confianza y fragmentos raros en los resultados.

Por eso, después de limpiar la web, hay que revisar Google Search Console.

Revisar problemas de seguridad en Search Console

Search Console tiene una sección de problemas de seguridad. Si Google ha detectado malware, phishing, contenido engañoso o páginas hackeadas, lo mostrará ahí.

No solicites revisión hasta estar seguro de que la web está limpia.

Comprobar URLs extrañas indexadas

Busca en Google:

site:tudominio.com

Y revisa si aparecen páginas que no reconoces.

También puedes usar Search Console para comprobar páginas indexadas, páginas no indexadas y URLs descubiertas.

Usar inspección de URL

La inspección de URL ayuda a comprobar cómo ve Google una página concreta.

Después de limpiar, revisa las páginas importantes:

• Home.
• Servicios.
• Categorías.
• Productos.
• Blog.
• Contacto.
• Landings con tráfico.
• Páginas que habían sido afectadas.

Solicitar retirada temporal de URLs spam cuando proceda

Si Google ha indexado URLs claramente falsas o dañinas, se puede valorar la retirada temporal desde Search Console.

Esto no sustituye la limpieza. Solo sirve para acelerar la desaparición temporal de algunos resultados mientras se corrige el problema de fondo.

Borrar fragmentos antiguos si Google muestra textos del hackeo

A veces la web ya está limpia, pero Google sigue mostrando títulos o descripciones antiguas relacionadas con el hackeo.

En ese caso hay que revisar caché, indexación, snippets y solicitar rastreo de las páginas limpias.

Solicitar revisión solo cuando la web esté limpia

Si Google ha marcado la web como peligrosa, hay que solicitar revisión desde Search Console.

Pero hazlo solo cuando:

• El malware haya sido eliminado.
• Los archivos estén revisados.
• Los usuarios sospechosos hayan sido eliminados.
• Las contraseñas estén cambiadas.
• El plugin vulnerable esté actualizado o eliminado.
• Las páginas spam hayan sido tratadas.
• La web funcione correctamente.

Solicitar revisión antes de tiempo puede retrasar la recuperación.

Volver a solicitar indexación de las páginas importantes

Una vez limpia la web, conviene solicitar indexación de las páginas clave.

No hace falta hacerlo con todas las URLs, pero sí con:

• Home.
• Servicios principales.
• Categorías importantes.
• Productos estratégicos.
• Artículos con tráfico.
• Páginas que se vieron afectadas.

Errores frecuentes al limpiar un WordPress hackeado

Hay errores que se repiten mucho cuando alguien intenta limpiar una web con prisas.

Pensar que instalar un plugin de seguridad lo arregla todo

Un plugin puede ayudar, pero no sustituye una revisión completa.

Si el atacante ya tiene acceso, puede haber modificado archivos, base de datos o usuarios.

Restaurar una copia infectada

Si no sabes cuándo empezó el hackeo, puedes restaurar una copia que ya estaba infectada.

Antes de restaurar hay que valorar fechas, síntomas y cambios.

Dejar el plugin vulnerable instalado

Si el ataque entró por un plugin y ese plugin sigue instalado, el problema puede volver.

Hay que actualizarlo, reemplazarlo o eliminarlo.

No cambiar contraseñas externas a WordPress

Cambiar solo la contraseña del administrador no basta.

Hay que revisar hosting, FTP/SFTP, base de datos, correo y usuarios técnicos.

No revisar la base de datos

El malware puede estar en la base de datos.

Puede aparecer en entradas, opciones, widgets, menús o configuraciones de plugins.

No revisar Search Console

Aunque la web ya se vea bien, Google puede seguir mostrando avisos, páginas spam o fragmentos infectados.

Bloquear URLs en robots.txt creyendo que así desaparecen de Google

Bloquear URLs en robots.txt no siempre elimina resultados de Google. De hecho, puede impedir que Google vea que la página ya está corregida.

Hay que tratar cada caso con cuidado.

Dar la web por limpia solo porque ya carga bien

Una web puede cargar correctamente y seguir teniendo puertas traseras.

La apariencia no es una garantía de seguridad.

Cómo evitar que vuelva a pasar

La seguridad WordPress no es una acción puntual. Es mantenimiento continuo.

Actualizaciones periódicas

Mantén actualizada tu web:

• WordPress.
• Plugins.
• Tema.
• Constructor visual.
• PHP.
• Integraciones críticas.

Copias de seguridad automáticas y externas

Las copias deben ser:

• Automáticas.
• Periódicas.
• Externas al servidor.
• Restaurables.
• Probadas.

Una copia que nunca se ha probado no es una garantía.

Doble factor de autenticación

El doble factor de autenticación añade una capa extra al login.

Aunque alguien consiga la contraseña, necesitará un segundo paso para acceder.

Limitación de intentos de acceso

Limitar intentos de login ayuda a reducir ataques de fuerza bruta.

También conviene revisar registros de acceso y usuarios bloqueados.

Desactivar edición de archivos desde WordPress

WordPress permite editar archivos desde el panel si no se desactiva esta opción.

En muchas webs conviene deshabilitar esa función para reducir riesgos.

Revisar permisos de archivos y carpetas

Los permisos incorrectos pueden facilitar modificaciones no deseadas.

Hay que revisar permisos de carpetas, archivos y usuarios del servidor.

Eliminar plugins y temas que no se usan

Lo que no se usa, se elimina.

Cada plugin o tema instalado añade mantenimiento y posible riesgo.

Monitorizar cambios de archivos

Un sistema de monitorización puede avisar si se modifican archivos importantes.

Esto ayuda a detectar problemas antes de que sean graves.

Revisar Search Console con frecuencia

Search Console no solo sirve para SEO. También ayuda a detectar problemas de seguridad, indexación y páginas extrañas.

Contratar mantenimiento WordPress si la web es importante para el negocio

Si tu web genera clientes, ventas o contactos, no debería estar abandonada.

Un mantenimiento adecuado puede incluir:

• Actualizaciones.
• Copias.
• Seguridad.
• Revisión de plugins.
• Monitorización.
• Soporte técnico.
• Revisión SEO básica.
• Control de indexación.

Cuándo pedir ayuda profesional

Puedes intentar revisar una web por tu cuenta si tienes conocimientos técnicos, acceso al hosting y experiencia con WordPress.

Pero conviene pedir ayuda profesional si el proyecto es importante.

Si la web genera ventas o contactos

Si la web forma parte de tu negocio, una limpieza incompleta puede costarte más que una intervención ordenada.

Si es una tienda online

Una tienda online necesita especial cuidado por pedidos, pagos, usuarios y datos de clientes.

Si Google muestra aviso de sitio peligroso

Cuando Google muestra un aviso, la reputación y el SEO ya están afectados.

Hay que limpiar correctamente y solicitar revisión cuando proceda.

Si el malware vuelve después de limpiarlo

Si el malware reaparece, casi seguro que queda una puerta abierta.

En ese caso hace falta una revisión más profunda.

Si hay muchas URLs raras en Google

Cuando aparecen muchas páginas spam indexadas, el problema no es solo técnico. También hay que trabajar la recuperación SEO.

Si no sabes diferenciar archivos legítimos de archivos sospechosos

WordPress tiene muchos archivos técnicos. Borrar el archivo equivocado puede romper la web.

Si no tienes experiencia, es mejor no tocar a ciegas.

Cómo podemos ayudarte en Nexo Virtual

En Nexo Virtual trabajamos con webs WordPress, WooCommerce y proyectos online que necesitan estar activos, seguros y bien posicionados.

Si te han hackeado la web WordPress, podemos ayudarte a revisar el caso con un proceso ordenado:

Recuperación de webs WordPress hackeadas

Analizamos el estado de la web, síntomas, errores, avisos del hosting y posibles señales de infección.

Limpieza de malware y revisión de archivos

Revisamos archivos críticos, carpetas sensibles, plugins, tema, base de datos y usuarios.

Restauración desde copias limpias

Si existe una copia anterior al ataque, valoramos si puede utilizarse como base de recuperación sin arrastrar malware.

Refuerzo de seguridad WordPress

Aplicamos medidas para reducir el riesgo de nuevas infecciones: actualizaciones, revisión de accesos, protección del login, eliminación de plugins innecesarios y configuración básica de seguridad.

Revisión de Search Console y recuperación SEO

Comprobamos si Google ha detectado problemas de seguridad, URLs extrañas, páginas spam o avisos que puedan afectar al posicionamiento.

Mantenimiento para evitar nuevos problemas

También podemos ayudarte con un mantenimiento preventivo para que la web no quede abandonada: actualizaciones, copias de seguridad, revisiones periódicas y soporte técnico.

No se trata solo de recuperar la web. Se trata de que vuelva a ser estable, segura y fiable para tus usuarios.

Preguntas frecuentes sobre WordPress hackeado

¿Qué hago si me han hackeado WordPress?

Lo primero es no borrar archivos al azar. Haz una copia completa, pon la web en mantenimiento si muestra contenido peligroso, cambia credenciales, revisa usuarios, analiza archivos y plugins, y restaura una copia limpia solo si estás seguro de que es anterior al hackeo.

¿Puedo limpiar WordPress solo con un plugin?

Un plugin de seguridad puede ayudar, pero no debería ser la única medida. Hay malware que puede esconderse en archivos, base de datos, usuarios, tareas programadas o plugins vulnerables.

¿Es suficiente restaurar una copia de seguridad?

No siempre. Si la copia ya estaba infectada o si restauras la web pero mantienes el plugin vulnerable, el problema puede volver. Restaurar una copia es solo una parte del proceso.

¿Por qué vuelve a aparecer el malware?

Normalmente ocurre porque no se ha cerrado la puerta de entrada. Puede quedar una puerta trasera, un usuario administrador sospechoso, un plugin vulnerable, una contraseña comprometida o archivos infectados sin detectar.

¿Cuánto tarda Google en quitar el aviso de sitio hackeado?

Depende del caso. Primero hay que limpiar la web y solicitar revisión desde Search Console. Google revisará el sitio y, si confirma que está limpio, retirará progresivamente los avisos.

¿Puede afectar un hackeo al SEO?

Sí. Un hackeo puede provocar avisos de seguridad, caída de clics, pérdida de confianza, indexación de URLs spam, fragmentos extraños y problemas de rastreo. Por eso es importante revisar Search Console después de la limpieza.

¿Qué hago si han aparecido páginas raras en Google?

Busca las URLs en Search Console, revisa si existen en la web, elimina el contenido inyectado, corrige la vulnerabilidad y solicita rastreo o retirada temporal cuando proceda.

¿Qué hago si mi tienda WooCommerce ha sido hackeada?

Pausa pedidos si hay riesgo, revisa checkout, pasarelas de pago, usuarios, pedidos recientes, plugins de pago, correos automáticos y productos. No vuelvas a vender hasta comprobar que el proceso de compra es seguro.

¿Cómo sé si mi web ya está limpia?

Una web está limpia cuando no hay malware detectable, no existen redirecciones, los archivos críticos están revisados, no hay usuarios sospechosos, los plugins están actualizados, Search Console no muestra problemas activos y la web funciona correctamente.

¿Cómo puedo evitar que vuelva a pasar?

Mantén WordPress, plugins y temas actualizados, elimina lo que no uses, usa contraseñas fuertes, activa doble factor, realiza copias externas, revisa usuarios y contrata mantenimiento si la web es importante para tu negocio.

Recuperar la web es solo el primer paso

Si te han hackeado la web WordPress, es normal preocuparse. Pero lo peor que puedes hacer es actuar sin orden.

Primero hay que contener el problema. Después, revisar archivos, base de datos, usuarios, plugins, tema, hosting y copias de seguridad. Luego hay que reforzar la seguridad y comprobar que Google no sigue detectando contenido peligroso.

Una web hackeada puede recuperarse, pero no conviene hacerlo a ciegas.

La clave está en no limitarse a “quitar el virus”. Hay que descubrir por dónde entraron, cerrar esa puerta y dejar la web preparada para seguir funcionando con más seguridad.

Si necesitas ayuda con una web WordPress hackeada, en Nexo Virtual podemos revisar tu caso y ayudarte a recuperar tu sitio de forma ordenada, segura y cuidando también el impacto en tu posicionamiento SEO.