Como identificar que WordPress fue comprometido

Un sitio WordPress hackeado puede mostrar diferentes sintomas dependiendo del tipo y objetivo del ataque. Es fundamental identificar el compromiso lo antes posible para limitar el dano y evitar que el sitio sea usado para distribuir malware o spam, lo que puede resultar en la inclusion del dominio en listas negras de seguridad y la suspencion del servicio de hospedaje.

Señales de que un sitio WordPress pudo haber sido comprometido:

  • El navegador o Google muestra una advertencia de "Sitio engañoso" o "Sitio malicioso".
  • El proveedor de hospedaje suspendio la cuenta por actividad maliciosa.
  • Aparecen paginas, publicaciones o usuarios administradores desconocidos.
  • El sitio redirige automaticamente a otros dominios desconocidos.
  • Google Search Console reporta URLs de spam indexadas en el dominio.
  • El sitio carga muy lento o muestra contenido que no fue publicado por el administrador.

Proceso de limpieza paso a paso

Paso 1: Poner el sitio en mantenimiento y respaldar

Aunque el sitio este comprometido, realizar un respaldo del estado actual es importante para tener una referencia de los archivos modificados. No restaurar este respaldo como solucion, sino usarlo para comparacion.

Paso 2: Escanear con herramientas de seguridad

Ejecutar un escaneo completo del sitio para identificar archivos maliciosos:

  • Instalar y ejecutar Wordfence Security y realizar un escaneo completo.
  • Usar la herramienta de escaneo remoto de Sucuri SiteCheck (sitecheck.sucuri.net).
  • Revisar el reporte de Google Search Console > Seguridad para ver que paginas fueron marcadas.

Paso 3: Restaurar los archivos del nucleo de WordPress

Descargar una copia fresca de WordPress de la misma version instalada y reemplazar todos los archivos del nucleo excepto /wp-content/ y wp-config.php. Los archivos del nucleo nunca deben ser modificados manualmente en un sitio limpio.

Paso 4: Revisar y limpiar wp-content

Los atacantes frecuentemente ocultan archivos PHP maliciosos dentro de carpetas de uploads:

# Buscar archivos PHP en la carpeta de uploads (via SSH si esta disponible)
find wp-content/uploads -name "*.php"

Eliminar todos los archivos PHP encontrados en la carpeta de uploads, ya que esta carpeta no debe contener archivos ejecutables.

Paso 5: Cambiar todas las credenciales

CredencialDonde cambiarla
Contrasena de todos los usuarios de WordPressUsuarios > Todos los usuarios
Contrasena de la base de datoscPanel > MySQL Databases
Claves secretas de wp-config.phpGenerador en api.wordpress.org/secret-key/1.1/salt/
Contrasena FTPcPanel > Cuentas FTP
Contrasena de cPanelPanel de cliente del proveedor

Medidas preventivas post-limpieza

  • Activar un firewall de aplicacion web (WAF) como Wordfence o Cloudflare WAF.
  • Instalar un plugin de autenticacion de dos factores para la cuenta de administrador.
  • Solicitar al proveedor de hospedaje la revision de permisos y la habilitacion de ImunifyAV si esta disponible.
  • Solicitar la eliminacion del dominio de listas negras a Google (Search Console > Seguridad > Solicitar revision) y Sucuri.
Was this answer helpful? 0 Users Found This Useful (0 Votes)

Most Popular Articles

Error 500 en WordPress: causas y como solucionarlo

Que es el error HTTP 500 en WordPressEl error 500 Internal Server Error (Error interno del...
Pantalla blanca en WordPress (White Screen of Death): solucion

Que es la pantalla blanca de WordPressLa pantalla blanca de la muerte (WSOD, White Screen of...
Error de memoria PHP en WordPress: como solucionarlo

Que es el error de memoria PHP en WordPressWordPress y sus plugins utilizan memoria RAM del...
Problemas con plugins de WordPress: diagnostico y solucion

Por que los plugins causan problemas en WordPressLos plugins son extensiones que agregan...
Como optimizar WordPress para mejor rendimiento

Por que optimizar WordPressLa velocidad de carga de un sitio web es un factor critico tanto para...