Guía definitiva para reparar un WordPress hackeado: del caos al control paso a paso

Cómo recuperar tu sitio web, proteger tus datos y blindar tu instalación para evitar futuros ataques

---

Cuando un sitio WordPress es hackeado, el impacto puede ser devastador. Desde enlaces basura en tu página principal hasta redirecciones a sitios de apuestas o contenido adulto, sin mencionar la pérdida de ingresos y la confianza de tus visitantes. Si tu sitio ha sido comprometido, no entres en pánico: sí hay solución.

Este artículo ofrece una guía paso a paso, realista y técnica, basada en experiencia de campo y en buenas prácticas recomendadas por la comunidad profesional de WordPress y empresas de seguridad como Wordfence. Aquí te explicamos cómo limpiar, recuperar y reforzar tu sitio tras un ataque.

---

1. Pon tu sitio en mantenimiento

Primero, oculta el problema del público. Puedes:

• Renombrar el directorio de WordPress temporalmente.
• Mostrar un mensaje de mantenimiento.
• Apagar el acceso web desde el servidor.

¿Por qué hacerlo? Un sitio hackeado en producción daña tu reputación más que estar temporalmente fuera de línea. A ojos de Google y tus clientes, la imagen importa.

---

2. Reemplaza los archivos del núcleo de WordPress

Reinstala WordPress desde cero o reemplaza solo los archivos principales si sabes lo que haces. Revisa manualmente:

• .htaccess
• wp-config.php
• index.php

Busca código extraño, como funciones encriptadas (base64_decode, eval, gzinflate) o llamadas a archivos con nombres inusuales (fxad13zz.php, adminer.php).

---

3. Audita tu tema y plugins

Los temas y plugins son vectores comunes de entrada. Haz esto:

• Revisa los archivos functions.php, index.php y header.php en tu tema activo.
• Elimina plugins que no reconozcas o que parezcan falsos.
• Inspecciona el contenido HTML personalizado en páginas y entradas desde el editor de bloques o el editor de código.
• Examina los snippets de código si usas plugins como Code Snippets o Advanced Custom Fields.

---

4. Corrige la URL del sitio en la base de datos

En phpMyAdmin, accede a la tabla wp_options y revisa las filas siteurl y home. Devuélvelas a su valor original si han sido alteradas.

También revisa el archivo wp-config.php por si se ha fijado una URL maliciosa.

---

5. Elimina usuarios no autorizados

Accede al panel de WordPress o al servidor y elimina:

• Usuarios admin desconocidos.
• Cuentas FTP, email o SSH no reconocidas.
• Revisa también si alguna cuenta legítima ha sido promovida a administrador.

---

6. Usa un escáner de malware

Instala Wordfence, iThemes Security o un plugin similar para escanear y detectar:

• Archivos maliciosos o alterados.
• Redirecciones, backdoors o scripts peligrosos.
• Código oculto en temas, plugins o archivos del sistema.

Wordfence te ofrecerá reparar (para archivos core) o eliminar (para archivos externos) según el contexto.

---

7. Encuentra la vulnerabilidad

Este paso es vital si no quieres verte hackeado de nuevo. Revisa:

• Plugins personalizados o mal mantenidos.
• Temas desactualizados.
• Formulares de contacto o carga de archivos sin sanitización.
• Configuraciones del servidor: versiones obsoletas de PHP, MySQL, Apache/Nginx mal configurados.

Consulta el archivo error.log del servidor para identificar plugins o funciones que estén lanzando errores inusuales.

Comandos útiles en terminal (si tienes acceso SSH):

find /var/www/html -type f -ctime -7
grep -r "base64_decode" /var/www/html
Lenguaje del código: JavaScript (javascript)

---

8. Cambia todas tus contraseñas

No olvides actualizar:

• Usuarios de WordPress
• Cuentas FTP
• Accesos a la base de datos
• Cuentas de hosting
• Emails asociados al sitio
• PayPal o pasarelas de pago (verifica que no hayan cambiado la dirección de cobro)

---

9. Endurece la seguridad de WordPress

Recomendaciones básicas:

• Desactiva XML-RPC si no lo usas.
• Protege wp-login.php con autenticación adicional (por IP o .htpasswd).
• Mantén todo actualizado: core, temas y plugins.
• Usa plugins de seguridad con notificaciones de cambios.
• Impide ejecución de PHP en /uploads con una directiva .htaccess:

<Files *.php>
  deny from all
</Files>
Lenguaje del código: HTML, XML (xml)

---

10. Lecciones aprendidas

• Tener copias de seguridad automatizadas es crucial.
• Evita plugins nulled o poco confiables.
• Contrata a un profesional si no tienes conocimientos técnicos suficientes.
• Monitorea accesos y cambios durante al menos 1 mes después de un hackeo.

---

Conclusión:

Recuperar un WordPress hackeado es posible, pero no es trivial. Involucra entender cómo piensa un atacante, revisar desde el código hasta el servidor, y aplicar medidas preventivas serias. El objetivo no solo es limpiar, sino blindar tu sitio contra el próximo intento.

La mejor defensa es una buena prevención: infraestructura sólida, código seguro y atención constante. Porque en la web, la seguridad nunca es 100 %. Pero sí puede ser 100 % vigilante.