Cómo limpiar un WordPress hackeado: guía paso a paso 2025

Cómo limpiar un wordpress hackeado

¡Hola! Qué gusto saludarte, aunque probablemente el motivo que te trae por aquí no sea el mejor. Si estás leyendo esto, es posible que estés pasando por uno de los momentos más estresantes para cualquier dueño de una web: sospechar (o saber) que tu WordPress ha sido hackeado.

Antes que nada, respira. En Destaca, hemos visto esta situación cientos de veces y, te lo aseguramos, tiene solución.

Entendemos perfectamente esa sensación de angustia, de ver cómo el trabajo de años parece estar en riesgo por culpa de un código malicioso. Pero no te preocupes.

Estamos aquí para ayudarte, y hemos preparado la guía más completa y actualizada a 2025 para que puedas recuperar tu sitio, limpiarlo a fondo y, lo más importante, blindarlo para que no vuelva a suceder.

El proceso es metódico, pero si sigues los pasos, lo conseguirás.


¿Cómo limpiar un WordPress hackeado?

Limpiar un WordPress hackeado en 2025 requiere un proceso metódico para asegurar que eliminas toda la infección y evitas que vuelva a ocurrir. No se trata solo de «borrar un archivo», sino de entender dónde se escondió el malware y cerrar la puerta de entrada.

En nuestra experiencia como agencia, hemos visto que la mayoría de las limpiezas exitosas se resumen en cinco pasos clave:

  1. Diagnosticar y confirmar el hackeo: Identificar los síntomas claros.
  2. Aislar el sitio (modo mantenimiento) y hacer una copia de seguridad: Proteger a tus usuarios y tener un «escenario del crimen» guardado.
  3. Escanear y eliminar el malware: Encontrar y neutralizar el código malicioso tanto en los archivos como en la base de datos.
  4. Cambiar TODAS las credenciales de acceso: Un paso crítico que muchos olvidan.
  5. Blindar (hardening) el sitio: Asegurar la web para prevenir futuros ataques.

Sabemos que suena técnico, pero no te abrumes. En esta guía te vamos a llevar de la mano, paso a paso, explicándote cada punto de forma sencilla. Vamos a usar toda nuestra experiencia en Destaca resolviendo infecciones complejas para que puedas recuperar tu proyecto.

¿Cómo sé si mi sitio WordPress está hackeado? (Síntomas)

A veces el hackeo es obvio (como una pantalla negra con un mensaje del hacker), pero la mayoría de las veces es sutil. Los atacantes de hoy no quieren que te des cuenta; prefieren usar tu sitio en silencio para sus propios fines.

¿Notas cosas raras en tu web últimamente? Vamos a repasar los síntomas más comunes que vemos en nuestros clientes:

  • Redirecciones extrañas: Esta es la señal más frecuente. Tus visitantes, o incluso tú mismo, intentan entrar a tu web y son redirigidos automáticamente a sitios de spam, farmacias online, casinos o contenido para adultos. A veces, esta redirección solo ocurre en dispositivos móviles o a visitantes que vienen desde Google.
  • Advertencias de «Sitio engañoso» en Google: Este es un golpe duro. Cuando buscas tu marca en Google, aparece un mensaje rojo debajo de tu enlace que dice «Este sitio puede ser engañoso» o «Este sitio puede dañar tu ordenador». Esto no solo ahuyenta a tus visitantes, sino que Google te está penalizando activamente en el ranking.
  • Nuevos usuarios administradores que no has creado: Entras a la sección de «Usuarios» en tu panel de WordPress y… sorpresa. Hay un nuevo administrador con un nombre extraño (como admin_backup, xUserTest o algo similar). Si tú no lo creaste, es una bandera roja gigante. El hacker se ha creado una «puerta trasera» para entrar cuando quiera.
  • Archivos desconocidos en tu FTP: Si tienes acceso a tus archivos (vía FTP o el Administrador de Archivos de tu hosting), revisa carpetas clave. La carpeta wp-content/uploads es la favorita de los hackers. Buscan subir archivos con nombres extraños como x73hde9.php, info.php o incluso archivos que parecen imágenes pero terminan en .php (ej. logo.jpg.php). También revisa la raíz de tu WordPress.
  • Inyección de keywords (spam) en japonés o de temáticas dudosas: De repente, tu sitio aparece en Google rankeando para palabras en japonés, sobre viagra o sobre criptomonedas. Si revisas el código fuente de tu página (clic derecho > Ver código fuente), verás que hay cientos de enlaces y texto oculto que tú no has puesto. Esto se llama «SEO Spam».
  • Tu hosting te envía un aviso: Muchas empresas de hosting tienen escáneres automáticos. Si detectan actividad sospechosa (como el envío masivo de correos spam desde tu servidor) o archivos maliciosos, te enviarán un email o incluso suspenderán tu cuenta temporalmente.

Si reconoces uno o más de estos síntomas, es 99% seguro que estás lidiando con una infección. Según fuentes de autoridad en seguridad como Sucuri, en sus informes anuales de sitios web hackeados, revelan que las infecciones por SEO Spam (como las keywords en japonés) y las redirecciones maliciosas siguen estando entre las principales categorías de malware, afectando a más del 50% de los sitios comprometidos.

Guía paso a paso: el proceso completo de limpieza del hackeo

Vale, ya hemos confirmado lo peor. Tienes un hackeo. Lo primero: que no cunda el pánico. Lo segundo: que no cunda el pánico. Y lo tercero: coge un café, respira hondo y vamos a solucionarlo.

En Destaca, este es el protocolo exacto que seguimos. Requiere paciencia, así que no te saltes ningún paso.

Paso 1. Aislar el sitio y realizar una copia de seguridad

Antes de empezar a «operar», tenemos que preparar el quirófano.

1. Activa el Modo Mantenimiento: No queremos que tus visitantes (ni los rastreadores de Google) vean tu sitio infectado. Esto daña tu reputación y puede hacer que Google te penalice más rápido.

  • ¿Cómo hacerlo? La forma más sencilla es instalar un plugin como «WP Maintenance Mode & Coming Soon» o «SeedProd». Actívalo y configura una página simple que diga «Estamos realizando mejoras. Volvemos pronto.»
  • Importante: Asegúrate de que, como administrador, tú SÍ puedas ver el sitio. Estos plugins suelen tener esa opción.

2. Realiza una Copia de Seguridad COMPLETA: Puede sonar contraintuitivo. «¿Hacer una copia de seguridad de un sitio infectado?». Sí. Absolutamente.

  • ¿Por qué? Esta copia es tu «escena del crimen». La necesitaremos más adelante para comparar archivos y ver qué ha modificado el hacker. Además, si algo sale terriblemente mal durante la limpieza (borras un archivo que no debías), siempre puedes volver a este punto de partida.
  • ¿Cómo hacerla? La mejor forma es a través de tu panel de hosting (cPanel, Plesk, Luc, etc.). Busca la herramienta de «Backups» o «Copias de seguridad» y genera una copia completa (archivos + base de datos). Evita usar plugins de backup de WordPress en este momento, ya que el propio plugin podría estar comprometido o fallar.

Paso 2. Escanear y encontrar el malware (Archivos y BBDD)

Ahora empieza el trabajo de detective. Tenemos que encontrar dónde se ha escondido el intruso. El malware puede estar en dos lugares: en tus archivos (el «cuerpo» de tu web) o en tu base de datos (el «cerebro» de tu web).

Opción A (Usando Plugins – El primer barrido):

Es la forma más accesible de empezar. Estos plugins son como perros rastreadores; están entrenados para «oler» el código malicioso.

  • Wordfence Security: Es uno de los más populares. Instálalo, ve a la sección «Scan» y lanza un escaneo completo. Te marcará en rojo los archivos del core modificados, archivos sospechosos y posibles infecciones.
  • Sucuri Security: Otro gigante de la seguridad. Su escáner gratuito hace un buen trabajo revisando la integridad de tus archivos y buscando malware conocido.
  • MalCare: Es una solución muy robusta que también ofrece escaneos profundos.

Estos plugins encontrarán la mayoría de las infecciones «comunes» y te dirán la ruta exacta del archivo infectado.

Opción B (Revisión Manual – El trabajo fino):

Los plugins son geniales, pero los hackers listos saben cómo esconderse de ellos. Una revisión manual es fundamental para asegurarnos de que no queda nada.

1. Revisando Archivos Clave: Usa tu FTP (como FileZilla) o el Administrador de Archivos de tu hosting.

  • wp-config.php: Es el archivo más importante de tu web (contiene las claves de la base de datos). Ábrelo y léelo. Busca cualquier código extraño, especialmente al principio o al final del archivo. Las funciones como eval(base64_decode(…)) son una señal de alarma inmediata.
  • .htaccess: Este archivo controla las redirecciones. Ábrelo. ¿Ves reglas (RewriteRule) raras que envían a tus usuarios a otros dominios? Ahí puede estar tu problema de redirección.
  • index.php: Revisa el index.php de la raíz de tu WordPress. Al igual que con el wp-config.php, busca código ofuscado al inicio o al final.

2. Comparando el Core de WordPress: Los hackers aman modificar los archivos principales de WordPress (wp-admin y wp-includes) para esconder sus «puertas traseras».

  • Ve a WordPress.org y descarga una copia limpia de la misma versión de WordPress que tienes instalada.
  • Descomprímela en tu ordenador.
  • Ahora compara tus carpetas wp-admin y wp-includes del servidor con las carpetas limpias. Una forma fácil de detectar anomalías es ordenar los archivos de tu servidor por fecha de modificación. ¿Ves algún archivo en wp-includes modificado «ayer» cuando el resto fue modificado hace meses? Sospechoso.

3. La carpeta wp-content/uploads: Como mencionamos, es el escondite favorito. Ordena por tipo de archivo. No debería haber NINGÚN archivo .php en esta carpeta (o sus subcarpetas). Si ves uno, es casi seguro que es malware.

4. Revisando la Base de Datos (BBDD): Aquí es donde se esconde el SEO Spam.

  • Entra en phpMyAdmin desde tu panel de hosting.
  • Selecciona tu base de datos.
  • Ve a la tabla wp_posts (o tuprefijo_posts). Revisa las últimas entradas. ¿Ves contenido spam? ¿O <script> tags inyectados dentro de tus posts legítimos?
  • Ve a la tabla wp_users. ¿Ves usuarios administradores que no reconoces?
  • Ve a la tabla wp_options. Revisa los campos siteurl y home. Asegúrate de que apuntan a tu dominio correcto y no a un sitio de spam.

Paso 3. Eliminar la infección y restaurar archivos limpios

Una vez localizado el enemigo, toca eliminarlo.

  1. Elimina los archivos maliciosos: Todos esos archivos .php que encontraste en la carpeta uploads (como x73hde9.php) o en otras carpetas raras, bórralos sin piedad. Si un plugin como Wordfence te marca un archivo como malicioso, elimínalo.
  2. Reemplaza los archivos del Core: No intentes «limpiar» los archivos de wp-admin y wp-includes. Es más seguro y rápido hacer lo siguiente:
    • En tu servidor, borra las carpetas wp-admin y wp-includes completas. (Sí, bórralas. Da miedo, pero es necesario).
    • Ahora, sube las carpetas wp-admin y wp-includes limpias que descargaste de WordPress.org en el paso anterior.
  3. Limpia los archivos wp-config.php y .htaccess: Edita estos archivos y borra manualmente las líneas de código malicioso que identificaste.
  4. Limpia la Base de Datos:
    • Usuarios: Borra los usuarios administradores falsos desde phpMyAdmin (en la tabla wp_users).
    • Spam en Posts: Si tienes <script> maliciosos inyectados en todos tus posts, puedes usar un plugin como «Better Search Replace» para buscar ese fragmento de código específico y reemplazarlo por «nada» (dejar el campo en blanco). ¡Haz una copia de seguridad de la BBDD antes de hacer esto!

Paso 4. El Post-Limpieza: Cambiar TODAS las credenciales

Has sacado al ladrón de la casa. Ahora tienes que cambiar todas las cerraduras. Este es, sin duda, uno de los pasos más importantes y que más gente olvida.

Si te saltas este paso, el hacker volverá a entrar en 24 horas usando las claves que te robó.

Esto no es negociable. Tienes que cambiar, como mínimo:

  1. Contraseña de Administrador de WordPress: Cambia la tuya y obliga a todos los demás usuarios (editores, autores, etc.) a restablecer la suya.
  2. Contraseña de la Base de Datos:
    • Ve a tu panel de hosting (cPanel/Plesk).
    • Busca la sección «Bases de datos MySQL».
    • Cambia la contraseña del usuario de la base de datos.
    • Inmediatamente después, ve a tu archivo wp-config.php y actualiza la línea define( ‘DB_PASSWORD’, ‘…’ ); con la nueva contraseña. Si no lo haces, tu web mostrará un «Error al establecer una conexión con la base de datos».
  3. Contraseña de FTP/SFTP: Cambia la contraseña de todas las cuentas FTP.
  4. Contraseña del Panel de Hosting: ¡La principal! Cambia la contraseña de acceso a tu cPanel, Plesk o el panel que uses.
  5. (Recomendación Pro) Genera nuevas «Salt Keys»: En tu wp-config.php, verás un bloque de claves de seguridad (SALT keys). Estas claves cifran las cookies de sesión.
    • Ve al generador oficial de claves de WordPress.
    • Copia el bloque de código que te genera.
    • Pégalo en tu wp-config.php, reemplazando el bloque antiguo.
    • Esto cerrará la sesión de todos los usuarios (incluido el hacker) y hará inválidas sus cookies.

«gema escondida»: nuestra experiencia real limpiando el hackeo de redirección móvil

En Destaca nos encanta un buen reto, y hace unos meses nos llegó un caso que nos tuvo rascándonos la cabeza. Es la «Gema Escondida» de este artículo, una experiencia que te demuestra lo listos que son los atacantes.

El problema: Un cliente nos contactó desesperado. «Mi web redirige a un sitio de spam, pero solo cuando entro desde mi móvil y solo si vengo de una búsqueda de Google».

Revisamos la web desde nuestros ordenadores de sobremesa. Nada. Entramos directamente desde el navegador del móvil. Nada. Los escáneres (Wordfence, Sucuri) decían: «Sitio Limpio».

El cliente insistía. Así que nos pusimos el traje de detectives.

La investigación: Logramos replicar el problema: usamos nuestros propios móviles, nos desconectamos de la WiFi (para usar datos móviles, con una IP diferente) y buscamos su marca en Google. Al hacer clic… ¡Bingo! Redirección a un casino online.

Revisamos los sospechosos habituales:

  • wp-config.php: Limpio.
  • index.php: Limpio.
  • .htaccess (raíz): Limpio.
  • Base de datos (wp_posts, wp_options): Limpio.
  • Usuarios: Ningún admin nuevo.

Estábamos desconcertados. El malware era «invisible» para los escáneres y para cualquier visita que no cumpliera esas dos condiciones (móvil + venir de Google).

La solución: Después de horas de búsqueda manual, dimos con él. El hackeo no estaba en un archivo obvio. Estaba en un archivo .htaccess dentro de una subcarpeta.

Los atacantes habían colocado un segundo archivo .htaccess en la carpeta /wp-content/uploads/.

Este archivo .htaccess secundario tenía un código muy ingenioso. Usaba directivas RewriteCond para detectar dos cosas:

  1. El HTTP_USER_AGENT: Buscaba palabras clave como «iPhone», «Android» o «Mobile».
  2. El HTTP_REFERER: Buscaba que la visita viniera de google.com.

Si AMBAS condiciones se cumplían, la RewriteRule se activaba y redirigía al usuario a la web de spam. Si fallaba una sola (por ejemplo, si eras un móvil pero entrabas directo, o si venías de Google pero en un ordenador), el archivo no hacía nada.

Por eso los escáneres fallaban. No simulaban ser un «usuario móvil viniendo de Google». Simplemente rastreaban los archivos.

La lección: Los hackeos modernos son condicionales y se esconden a plena vista. No te fíes solo de los escáneres. Revisa todas las carpetas, especialmente uploads, themes y plugins, buscando archivos .htaccess o .php sospechosos que no deberían estar allí.

¿Cómo blindar tu WordPress para evitar futuros hackeos? (Hardening)

Limpiar la web es la mitad de la batalla. La otra mitad es asegurarte de que esto no vuelva a pasar. Si no blindas tu sitio, te hackearán de nuevo, probablemente en unos días. A esto le llamamos «hardening» (o blindaje).

Aquí tienes una lista de acciones esenciales:

1. Actualizaciones (el pilar de todo):

  • Mantén el Core de WordPress siempre actualizado.
  • Mantén TODOS tus plugins actualizados.
  • Mantén TODOS tus temas actualizados.
  • ¿Por qué? La mayoría de los hackeos (más del 50%) ocurren por explotar vulnerabilidades conocidas en software desactualizado.

2. Usar (y exigir) contraseñas fuertes:

  • En el «Paso 4» de la limpieza ya cambiaste todas las cerraduras. ¡Perfecto!
  • Ahora, la regla de oro para el futuro es que todas esas contraseñas nuevas (y las de cualquier usuario que crees) sean fuertes.
  • Deja de usar «NombreDeMiPerro123». Usa contraseñas largas (más de 12 caracteres), con mayúsculas, minúsculas, números y símbolos.
  • Usa un gestor de contraseñas (como Bitwarden, LastPass o el de tu navegador) para generar y guardar contraseñas únicas para cada sitio (WordPress, Hosting, FTP…).

3. Autenticación de dos factores (2FA):

  • Esta es, en nuestra opinión, la medida más efectiva contra el robo de contraseñas.
  • Incluso si un hacker adivina tu clave (porque era débil), no podrá entrar sin un código temporal que se genera en tu móvil.
  • Plugins recomendados: Wordfence Login Security (gratuito y fácil) o Google Authenticator.

4. Limitar intentos de login (contra fuerza bruta):

  • Los «ataques de fuerza bruta» son robots que prueban miles de contraseñas por minuto en tu wp-login.php.
  • Instala un plugin como «Limit Login Attempts Reloaded» o activa esta función en Wordfence. Bloqueará la IP del atacante después de 3 o 5 intentos fallidos.

5. WAF (Web Application Firewall):

  • Piensa en esto como un «escudo de seguridad» que se pone delante de tu hosting.
  • Filtra el tráfico malo (como intentos de inyección SQL, bots maliciosos) antes de que llegue a tu WordPress.
  • Opciones: Cloudflare tiene un plan gratuito excelente que ofrece un WAF básico. Servicios premium como Sucuri WAF o Wordfence Premium son aún más potentes.

6. (Bonus Pro) Desactivar la edición de archivos:

  • Añade esta línea a tu archivo wp-config.php: define(‘DISALLOW_FILE_EDIT’, true);
  • Esto deshabilita el editor de temas y plugins desde el panel de WordPress. Si un hacker logra entrar a tu admin, no podrá usar ese editor para inyectar código malicioso.

Sabemos que esta lista puede parecer larga. Si gestionar la seguridad y las actualizaciones constantes te quita tiempo de tu negocio real, considera un plan de Mantenimiento WordPress como los que ofrecemos en Destaca. Nosotros nos encargamos de todo este blindaje por ti, para que tú solo te preocupes de hacer crecer tu proyecto.

Preguntas frecuentes (FAQs) sobre limpieza de WordPress

Para terminar, vamos a responder esas preguntas que seguro te estás haciendo ahora mismo.

¿Cuánto cuesta limpiar un WordPress hackeado?

Esta es la pregunta del millón, y la respuesta honesta es: depende.

Los servicios profesionales de limpieza de malware, como los que ofrecemos en Destaca, suelen tener un coste único que puede variar. El precio depende de la complejidad de la infección:

Una infección simple de archivos puede ser más rápida de limpiar.
Una infección compleja que está en la base de datos, que redirige de forma condicional y que ha creado cientos de páginas spam, requiere muchas más horas de trabajo manual experto.

Desconfía de los servicios «ultra-baratos» que prometen limpiarlo todo por 20€. A menudo solo ejecutan un script automático y no eliminan la puerta trasera, por lo que te volverán a hackear en una semana.

¿Google penaliza mi web si fue hackeada?

Sí, pero es temporal. Google penaliza tu web de dos maneras:

La advertencia: Muestra el mensaje de «Sitio engañoso» en los resultados de búsqueda, lo que destruye tu tasa de clics.
El ranking: Te baja drásticamente en los resultados (o te desindexa) para proteger a sus usuarios.
La buena noticia es que en cuanto limpias el sitio al 100%, puedes ir a tu cuenta de Google Search Console, a la sección de «Problemas de Seguridad«, y solicitar una revisión.

Cuando Google comprueba que el sitio está limpio (normalmente en 24-72 horas), elimina la advertencia y tu posicionamiento vuelve a la normalidad. La clave es actuar muy, muy rápido.

¿Es más seguro usar un plugin de limpieza o hacerlo manualmente?

La respuesta profesional es: es una combinación de ambos.

Los plugins (Wordfence, Sucuri) son excelentes para el diagnóstico inicial y para limpiar el 80% de las infecciones comunes y conocidas. Son tu primera línea de defensa.

La limpieza manual es imprescindible para el 20% restante: las infecciones «listas» (como la que contamos en nuestra «Gema Escondida»), las puertas traseras ofuscadas y el malware de día cero.

Nuestra recomendación en Destaca es: empieza usando un plugin para escanear e identificar la magnitud del problema. Si después de la limpieza automática del plugin, los síntomas persisten (o si simplemente no te sientes 100% seguro de haberlo eliminado todo), lo más sensato es contratar a un profesional.

¿Te sientes abrumado? Deja que los expertos lo solucionen

Sabemos que esta guía es técnica y que el proceso puede ser estresante y consumir mucho tiempo. Si has leído hasta aquí y piensas «esto es demasiado complicado para mí» o «no tengo tiempo para hacer esto», no te preocupes. Es una reacción completamente normal.

En Destaca, nos especializamos en esto. Tenemos un equipo de expertos dedicado exclusivamente a la seguridad y mantenimiento de WordPress. Hemos limpiado cientos de sitios infectados y sabemos exactamente dónde buscar.

Deja de perder tiempo y de arriesgar tu reputación.

Contacta con nuestro equipo de expertos en seguridad WordPress

Nosotros nos encargaremos de la limpieza profunda, eliminaremos todo el malware y las puertas traseras, y blindaremos tu sitio para que puedas volver a dormir tranquilo.


DESTACADOS

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Email

    En Destaca SL somos especialistas en hacerte el día a día más fácil y vitaminar negocios online como el tuyo. Completa tus datos con toda la información posible para que te contacte el asesor adecuado.

    Teléfono

    Sitio web

    Cuéntame más

      Email

      En Destaca SL somos especialistas en hacerte el día a día más fácil y vitaminar negocios online como el tuyo. Completa tus datos con toda la información posible para que te contacte el asesor adecuado.

      Teléfono

      Sitio web

      Cuéntame más

        Email

        En Destaca SL somos especialistas en hacerte el día a día más fácil y vitaminar negocios online como el tuyo. Completa tus datos con toda la información posible para que te contacte el asesor adecuado.

        Teléfono

        Sitio web

        ¿Cuál es tu urgencia?

        Mantenimiento Web WordPress | Gana Tiempo y Tranquilidad
        Resumen de privacidad

        Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.