Cómo recuperar tu sitio web, proteger tus datos y blindar tu instalación para evitar futuros ataques
Cuando un sitio WordPress es hackeado, el impacto puede ser devastador. Desde enlaces basura en tu página principal hasta redirecciones a sitios de apuestas o contenido adulto, sin mencionar la pérdida de ingresos y la confianza de tus visitantes. Si tu sitio ha sido comprometido, no entres en pánico: sí hay solución.
Este artículo ofrece una guía paso a paso, realista y técnica, basada en experiencia de campo y en buenas prácticas recomendadas por la comunidad profesional de WordPress y empresas de seguridad como Wordfence. Aquí te explicamos cómo limpiar, recuperar y reforzar tu sitio tras un ataque.
1. Pon tu sitio en mantenimiento
Primero, oculta el problema del público. Puedes:
- Renombrar el directorio de WordPress temporalmente.
- Mostrar un mensaje de mantenimiento.
- Apagar el acceso web desde el servidor.
¿Por qué hacerlo? Un sitio hackeado en producción daña tu reputación más que estar temporalmente fuera de línea. A ojos de Google y tus clientes, la imagen importa.
2. Reemplaza los archivos del núcleo de WordPress
Reinstala WordPress desde cero o reemplaza solo los archivos principales si sabes lo que haces. Revisa manualmente:
.htaccesswp-config.phpindex.php
Busca código extraño, como funciones encriptadas (base64_decode, eval, gzinflate) o llamadas a archivos con nombres inusuales (fxad13zz.php, adminer.php).
3. Audita tu tema y plugins
Los temas y plugins son vectores comunes de entrada. Haz esto:
- Revisa los archivos
functions.php,index.phpyheader.phpen tu tema activo. - Elimina plugins que no reconozcas o que parezcan falsos.
- Inspecciona el contenido HTML personalizado en páginas y entradas desde el editor de bloques o el editor de código.
- Examina los snippets de código si usas plugins como Code Snippets o Advanced Custom Fields.
4. Corrige la URL del sitio en la base de datos
En phpMyAdmin, accede a la tabla wp_options y revisa las filas siteurl y home. Devuélvelas a su valor original si han sido alteradas.
También revisa el archivo wp-config.php por si se ha fijado una URL maliciosa.
5. Elimina usuarios no autorizados
Accede al panel de WordPress o al servidor y elimina:
- Usuarios admin desconocidos.
- Cuentas FTP, email o SSH no reconocidas.
- Revisa también si alguna cuenta legítima ha sido promovida a administrador.
6. Usa un escáner de malware
Instala Wordfence, iThemes Security o un plugin similar para escanear y detectar:
- Archivos maliciosos o alterados.
- Redirecciones, backdoors o scripts peligrosos.
- Código oculto en temas, plugins o archivos del sistema.
Wordfence te ofrecerá reparar (para archivos core) o eliminar (para archivos externos) según el contexto.
7. Encuentra la vulnerabilidad
Este paso es vital si no quieres verte hackeado de nuevo. Revisa:
- Plugins personalizados o mal mantenidos.
- Temas desactualizados.
- Formulares de contacto o carga de archivos sin sanitización.
- Configuraciones del servidor: versiones obsoletas de PHP, MySQL, Apache/Nginx mal configurados.
Consulta el archivo error.log del servidor para identificar plugins o funciones que estén lanzando errores inusuales.
Comandos útiles en terminal (si tienes acceso SSH):
find /var/www/html -type f -ctime -7
grep -r "base64_decode" /var/www/html
Lenguaje del código: JavaScript (javascript)8. Cambia todas tus contraseñas
No olvides actualizar:
- Usuarios de WordPress
- Cuentas FTP
- Accesos a la base de datos
- Cuentas de hosting
- Emails asociados al sitio
- PayPal o pasarelas de pago (verifica que no hayan cambiado la dirección de cobro)
9. Endurece la seguridad de WordPress
Recomendaciones básicas:
- Desactiva XML-RPC si no lo usas.
- Protege
wp-login.phpcon autenticación adicional (por IP o .htpasswd). - Mantén todo actualizado: core, temas y plugins.
- Usa plugins de seguridad con notificaciones de cambios.
- Impide ejecución de PHP en
/uploadscon una directiva.htaccess:
<Files *.php>
deny from all
</Files>
Lenguaje del código: HTML, XML (xml)10. Lecciones aprendidas
- Tener copias de seguridad automatizadas es crucial.
- Evita plugins nulled o poco confiables.
- Contrata a un profesional si no tienes conocimientos técnicos suficientes.
- Monitorea accesos y cambios durante al menos 1 mes después de un hackeo.
Conclusión:
Recuperar un WordPress hackeado es posible, pero no es trivial. Involucra entender cómo piensa un atacante, revisar desde el código hasta el servidor, y aplicar medidas preventivas serias. El objetivo no solo es limpiar, sino blindar tu sitio contra el próximo intento.
La mejor defensa es una buena prevención: infraestructura sólida, código seguro y atención constante. Porque en la web, la seguridad nunca es 100 %. Pero sí puede ser 100 % vigilante.
