Descubrir que tu web ha sido hackeada genera pánico.
Puede aparecer contenido extraño, redirecciones a páginas sospechosas o incluso un aviso de “sitio peligroso” en Google.
Si usas WordPress, no estás solo: es el CMS más usado del mundo y, por eso mismo, uno de los más atacados.
La buena noticia es que se puede recuperar el control. Aquí tienes los pasos urgentes que debes seguir.
1. Mantén la calma y no borres nada todavía
El primer impulso suele ser:
- Eliminar archivos.
- Desinstalar plugins.
- Restaurar sin comprobar nada.
Error.
Primero necesitas entender qué ha pasado. Si borras cosas sin analizar, puedes empeorar la situación.
2. Cambia todas las contraseñas inmediatamente
Hazlo desde otro dispositivo seguro si es posible.
Cambia:
- Acceso a WordPress.
- FTP o gestor de archivos.
- Panel del hosting.
- Base de datos.
- Email asociado.
Si el atacante tiene acceso activo, este paso corta la puerta principal.
3. Activa el modo mantenimiento
Si tu web está mostrando contenido malicioso o redirecciones:
- Activa modo mantenimiento.
- O bloquea temporalmente el acceso desde el hosting.
Es mejor tener la web unas horas caída que infectando a tus visitantes, dando una mala imagen con información falsa o con contenido explícito.
4. Revisa si tienes copia de seguridad limpia
Si tienes backups automáticos:
- Comprueba la fecha.
- Restaura una versión anterior al ataque.
- Verifica que funciona correctamente.
Pero cuidado: Si restauras una copia que ya estaba infectada, el problema volverá.
5. Escanea la web en busca de malware
Puedes usar herramientas online como:
- Sucuri SiteCheck
- Wordfence
Estas herramientas detectan:
- Archivos modificados.
- Código malicioso.
- Redirecciones ocultas.
- Usuarios sospechosos.
6. Reinstala el núcleo de WordPress
Desde el panel:
Escritorio → Actualizaciones → Reinstalar WordPress
Esto reemplaza los archivos principales sin borrar tu contenido. Muchas infecciones afectan archivos del núcleo.
7. Elimina plugins y temas sospechosos
Revisa:
- Plugins que no recuerdas haber instalado.
- Temas que no usas.
- Archivos con nombres extraños.
Elimina todo lo que no sea esencial.
Menos superficie de ataque = menos riesgo.
8. Revisa usuarios administradores
Ve a:
Usuarios → Todos los usuarios
Si aparece un administrador que no conoces:
- Elimínalo inmediatamente.
- Revisa qué acciones realizó.
Muchos ataques crean usuarios ocultos para mantener el acceso.
9. Comprueba si Google ha marcado tu web como peligrosa
Busca en Google:
site:tudominio.com Si aparece aviso de “sitio comprometido”, necesitarás:
- Limpiar completamente la web.
- Solicitar revisión en Google Search Console.
10. Refuerza la seguridad después del ataque
Una vez limpia la web:
- Actualiza WordPress, temas y plugins.
- Instala un firewall.
- Activa autenticación en dos pasos.
- Configura copias de seguridad automáticas.
- Limita intentos de login.
El 90% de los hackeos ocurren por:
- Plugins desactualizados.
- Contraseñas débiles.
- Falta de mantenimiento.
¿Cuándo deberías pedir ayuda profesional?
Si ocurre alguno de estos casos:
- No puedes acceder al panel.
- La infección vuelve tras restaurar.
- El hosting suspende tu cuenta.
- Google bloquea tu web.
En esos casos, lo mejor es intervención técnica especializada.
Conclusión
Si tu web ha sido hackeada:
- Cambia contraseñas.
- Aísla el problema.
- Restaura copia limpia.
- Escanea y limpia.
- Refuerza la seguridad.
Lo importante no es solo recuperar la web. Es evitar que vuelva a pasar.
