¿Cómo saber si mi WordPress fue hackeado?

Las señales más comunes son: redirecciones a sitios sospechosos, páginas indexadas en japonés o chino que tú no creaste, advertencias "este sitio puede ser peligroso" en Google, lentitud extrema sin causa aparente, usuarios administradores desconocidos, o archivos del core modificados. Si detectas cualquiera de estas señales, actúa en cuestión de horas — cada minuto cuenta.

¿Cuánto tiempo toma limpiar un WordPress hackeado?

Entre 2 horas (hackeo simple: malware en un plugin) y 3 días (hackeo severo con base de datos comprometida y SEO spam). La mayoría de casos medianos se resuelven en 4 a 8 horas cuando los hace un profesional.

¿Cuánto cuesta recuperar un WordPress hackeado?

Una limpieza básica arranca en USD 100–200. Una limpieza completa con hardening de seguridad cuesta desde USD 200–500. Un plan de mantenimiento mensual para prevenir nuevos incidentes parte desde USD 40 al mes. Precios al momento de publicación (abril 2026).

¿Puedo limpiar yo mismo el WordPress o conviene contratar un profesional?

Si no tienes experiencia técnica con PHP, bases de datos y seguridad web, la limpieza manual es riesgosa: es fácil pasar por alto backdoors que permiten al atacante volver en días. Para sitios que generan ingresos o atienden clientes, un profesional se paga solo en tiempo de inactividad evitado.

¿Qué hago para evitar que vuelva a pasar?

Mantén WordPress, temas y plugins actualizados siempre; instala un plugin de seguridad como Wordfence o Sucuri; activa autenticación de dos factores; configura backups automáticos semanales en destino externo (no en el mismo servidor); y considera un plan de mantenimiento profesional si no tienes equipo técnico interno.

WordPress hackeado: qué hacer paso a paso

Cómo saber si tu WordPress fue hackeado

Un sitio WordPress hackeado no siempre muestra señales obvias. A veces el único indicio es que Google marca tu sitio como “no seguro” o que tus visitantes son redirigidos a páginas sospechosas.

Estas son las señales más comunes:

Redirecciones a otros sitios: al entrar a tu web, el navegador te lleva a otra página (casinos, farmacia, etc.)
Páginas en japonés o chino: aparecen páginas indexadas en Google con caracteres asiáticos que tú no creaste
Google muestra “Este sitio puede ser peligroso”: una advertencia roja antes de entrar a tu web
Lentitud extrema: el sitio carga mucho más lento de lo normal sin razón aparente
Usuarios administradores desconocidos: encuentras cuentas de admin que no creaste
Archivos modificados: archivos del core de WordPress o de tu tema fueron alterados

Qué hacer inmediatamente

1. No entres en pánico, pero actúa rápido

Cada minuto que pasa, el malware puede estar enviando spam desde tu servidor, infectando visitantes o dañando tu reputación en Google. Actúa con calma pero sin demora.

2. Cambia todas las contraseñas

Antes de limpiar cualquier cosa, cambia:

Contraseña de WordPress (todos los usuarios admin)
Contraseña de tu hosting (cPanel, Plesk o el panel que uses)
Contraseña de la base de datos
Contraseña de FTP/SFTP
Claves de seguridad en wp-config.php (SALT keys)

3. Haz un backup del estado actual

Sí, incluso del sitio infectado. Este backup te servirá para analizar qué pasó y cómo entró el atacante. No lo uses para restaurar, solo para investigación.

4. Identifica el tipo de hackeo

Los hackeos más comunes en WordPress son:

Inyección de malware en archivos PHP: código malicioso insertado en archivos del tema, plugins o core
Backdoors: archivos ocultos que permiten al atacante volver a entrar
SEO spam (Japanese keyword hack): páginas fantasma creadas para posicionar contenido spam en Google
Pharma hack: tu sitio muestra contenido farmacéutico a los motores de búsqueda pero no a los visitantes
Redirección maliciosa: código en .htaccess o en la base de datos que redirige visitantes

5. Limpia los archivos infectados

Este es el paso más técnico. Tienes dos opciones:

Opción A: limpieza manual (si tienes experiencia técnica)

Descarga una copia limpia de WordPress desde wordpress.org
Reemplaza las carpetas wp-admin y wp-includes completamente
Revisa wp-config.php en busca de código sospechoso
Revisa cada archivo en wp-content/themes/ y wp-content/plugins/
Busca archivos PHP que no deberían estar ahí (nombres aleatorios como wp-tmp.php, class.api.php)
Revisa el archivo .htaccess en busca de redirecciones

Opción B: contratar un profesional

Si no tienes experiencia técnica o no tienes tiempo, la opción más segura es contratar a alguien especializado. Un profesional puede limpiar el sitio en horas y asegurarse de que no queden backdoors.

6. Actualiza todo

Después de la limpieza:

Actualiza WordPress a la última versión
Actualiza todos los plugins
Actualiza tu tema
Elimina plugins y temas que no uses

7. Fortalece la seguridad

Para evitar que vuelva a pasar:

Instala un plugin de seguridad (Wordfence, Sucuri o iThemes Security)
Activa la autenticación de dos factores
Limita los intentos de login
Cambia el prefijo de la base de datos si usas el default (wp_)
Configura backups automáticos (al menos semanales)
Mantén todo actualizado siempre

Cuánto tiempo toma recuperar un WordPress hackeado

Depende de la gravedad:

Hackeo simple (malware en un plugin): 2–4 horas
Hackeo moderado (backdoors + archivos modificados): 4–8 horas
Hackeo severo (base de datos comprometida + SEO spam): 1–3 días

Cuánto cuesta limpiar un WordPress hackeado

Los precios varían según el proveedor y la gravedad. En general:

Limpieza básica: desde USD 100–200
Limpieza completa + hardening: desde USD 200–500
Plan de mantenimiento mensual (para evitar que vuelva a pasar): desde USD 40–80/mes

La clave para evitar hackeos futuros es el mantenimiento preventivo: actualizaciones regulares, backups automáticos y monitoreo de seguridad. Si no tienes tiempo o equipo para hacerlo, un plan de mantenimiento profesional es la mejor inversión.

Para una guía completa sobre cómo establecer un plan de mantenimiento que prevenga este tipo de incidentes, revisa nuestra guía de mantenimiento WordPress para empresas.