Detectar un sitio Wordpress pirateado sin perder tiempo requiere un método probado, puntos de control precisos y decisiones rápidas. Esta guía operativa le muestra cómo confirmar la intrusión, priorizar los riesgos, preservar sus datos y sus posiciones SEO y, a continuación, iniciar una reparación limpia.
1) Señales de alarma inmediatas que nunca debe ignorar
Antes incluso de abrir una consola de administración, escanee lo que ven sus visitantes y lo que leen los motores. Este escaneo visual y de comportamiento lleva unos minutos y a menudo revela más de 80% de compromisos clásicos.
Qué hay que tener en cuenta de inmediato: redirecciones condicionales (a veces solo se activan en la primera carga, en móviles o para usuarios que no han iniciado sesión), ventanas emergentes inyectadas, superposiciones publicitarias que no pertenecen a tu experiencia, aumento repentino del tiempo de carga en páginas sencillas, advertencias del navegador (Chrome/Firefox) sobre contenido peligroso, resultados de Google anómalos (títulos en japonés, contenido farmacéutico, inserciones no relacionadas con tu negocio), mensajes Esta página parece estar enviando spam a determinados webmails tras hacer clic en tus boletines o confirmaciones de compra.
Para hacerse una idea rápida de los patrones más comunes, eche un vistazo a estos diagramas Signos comunes de hackeo de WordPress. Si ya marca dos o tres puntos, considere la situación como un compromiso probable.
2) Indicadores técnicos de compromiso en el servidor
Los rastros rara vez dejan lugar a dudas. Empieza por fijarte en las métricas globales: picos inesperados de CPU/memoria, alta IO de disco fuera de las copias de seguridad, caída de la disponibilidad, explosión del volumen de correos salientes, nuevas IP baneadas por tu cortafuegos, archivos modificados recientemente en masa en wp-content (especialmente subidas), crons desconocidos, programación de tareas por minutos (minuciosamente) que no existían, uso anormal del ancho de banda en el lado saliente (exfiltración).
En cuanto al registro: multiplique los ángulos. Esté atento a 404s a rutas PHP desconocidas, llamadas repetidas a admin-ajax.php o wp-json desde ASNs dudosos, grandes POSTs a endpoints de formularios raramente utilizados, User-Agents exóticos (curl, python-requests) o vacíos, peticiones a wp-login.php a un ritmo constante (fuerza bruta discreta), HEAD/OPTIONS inusuales justo antes de POSTs maliciosos, redirecciones 302/307 no previstas en su pila.
Caza la persistencia clásica: archivos .php en uploads o en wp-includes, mu-plugins que nunca creaste, puertas traseras en index.php de temas obsoletos, scripts .ico o .png que en realidad son PHP, archivos nombrados con un prefijo legítimo de plugin pero colocados en el lugar equivocado.
3) Rutina rápida de auditoría de 15 minutos
Para confirmar o desmentir la intrusión sin demora, adopte un protocolo normalizado. Elaborar un inventario: lista de cuentas de administrador activas, correos electrónicos de recuperación y roles (detección de una cuenta admin2 reciente), lista de plugins y temas con sus versiones (detectar los que ya no se actualizan), fecha de la última modificación de los archivos críticos (wp-config.php, .htaccess, index.php en la raíz). Mida la superficie de exposición: directorios listados por error (DirectoryIndex missing), archivos de copia de seguridad accesibles al público (.zip, .sql), endpoints REST que exponen demasiada información. Por último, inspeccione el front-end: código fuente de páginas clave, etiquetas script/iframe inesperadas y minificación extraña. Las anomalías combinadas son una señal fuerte.
Obtenga una auditoría gratuita de su sitio web
4) Comprobaciones del front-end: DOM, scripts y red
Abra las DevTools del navegador en una página típica. En la pestaña Elementos, busca scripts insertados al final del cuerpo, atributos onload/onmouseover sospechosos, URL de CDN desconocidas, cargas útiles cifradas en base64 o hexadecimal. En la pestaña Red, filtra JS y Document: pronto verás cargas a dominios con ortografía engañosa. Examina también la temporización: si un JS de terceros alarga el TTFB/DOMContentLoaded de forma desproporcionada, puede estar encapsulando una redirección condicional o una inyección.
Puntos específicos de atención: iframes de 1px x 1px, palabras clave farmacéuticas/japonesas en el DOM ocultas mediante CSS, Service Worker no previsto (las redirecciones pueden persistir), ausencia o debilitamiento repentino de su CSP/política de permisos, reescritura dinámica de enlaces salientes para monetizar el tráfico.
5) Ficheros de alto riesgo y puntos de persistencia
Apunta a los centros de configuración: wp-config.php (claves constantes y DB, adición de includes o evals), .htaccess (reglas Rewrite a medida para redirigir ciertas condiciones), index.php en la raíz (inclusiones condicionales), directorio wp-content/mu-plugins (ejecución automática al cargar), uploads (las webshells se camuflan allí). Una simple diferencia de tiempo habla por sí sola: si wp-config.php ha sido modificado sin motivo, suspenda las conexiones entrantes y guarde la prueba (copia con marca de tiempo) antes de tomar cualquier medida.
6) Base de datos, opciones y usuarios
Más allá de los archivos, un compromiso duradero a menudo implica la base: crear usuarios administradores discretos, cambiar la dirección de correo electrónico de la cuenta de administrador existente, inyectar opciones autoloaded en la tabla de opciones para ejecutar código en cada solicitud, añadir páginas huérfanas para el spam SEO, secuestrar widgets o menús. Comprueba también los campos home y siteurl si observas alguna redirección global, así como la presencia de scripts en el contenido de las entradas (etiquetas script, iframes, shortcodes desconocidos). Por último, comprueba en la tabla de tareas programadas (cron) la ejecución minuto a minuto de funciones con nombres inocuos.
7) Spam SEO: palabras clave exóticas, redireccionamientos y URL fantasma
El hackeo japonés de palabras clave, el hackeo farmacéutico y las páginas puerta siguen siendo algunos de los más devastadores para la imagen y el SEO. Tres síntomas: tus SERPs muestran snippets con términos extranjeros, descubres cientos de páginas indexadas desconocidas, tu tráfico orgánico se distorsiona (provocando una tasa de rebote anormal). Empiece por buscar site:sudominio.tld en navegación privada y compare los títulos con su estructura de árbol real. A continuación, inspeccione los permalinks: si la estructura ha sido alterada, las reescrituras pueden enmascarar un directorio malicioso.
Para saber más sobreinyección masiva de URL y los mecanismos de generación de páginas fantasma, este recurso proporciona pistas concretas para la auditoría. Al mismo tiempo, si necesita revisar rápidamente su estructura de URL después de un incidente, puede confiar en los métodos deoptimizar los enlaces permanentes para restablecer rutas limpias y reducir el riesgo de que se vuelvan a indexar páginas no deseadas.
8) Ampliaciones, temas y cadena de suministro
Un gran número de incidentes son causados por un componente vulnerable. Indicios típicos: una extensión abandonada, una actualización de seguridad publicada pero no aplicada, un tema anulado, el depósito de archivos fuera del directorio del componente o una filiación dudosa (bifurcaciones no verificadas). Establezca la cronología: ¿Cuándo apareció el comportamiento anómalo? y ¿Qué se actualizó/instaló justo antes? La correlación temporal es tu mejor aliado. Si identifica un punto de entrada probable, dé prioridad a la neutralización: desactivación, sustitución y, a continuación, análisis de trazas (registros, archivos eliminados, tareas programadas).
9) Phishing, clones y redireccionamientos selectivos
Algunos atacantes no alteran tu contenido principal; añaden páginas de phishing y redirigen sólo a perfiles específicos (tráfico móvil, referente específico, IP desconocida). Para detectar estos escenarios, pruebe sus páginas en diferentes redes (4G/5G, VPN), dispositivos y navegadores, y compare las rutas de redireccionamiento. Este enfoque, junto con algunas buenas prácticas para reconocer una página trampaEsta nueva función identifica las trampas que son invisibles para los administradores conectados.
10) Diferenciar entre averías, errores y compromisos
No todos los bugs son ataques. He aquí tres criterios sencillos para distinguirlos: reproducibilidad (un fallo es generalmente reproducible independientemente de la IP, un hacker puede esconderse detrás de las condiciones), temporalidad (un fallo aparece tras una actualización interna conocida; un compromiso puede surgir sin ningún cambio por parte del equipo), persistencia (una vez vaciada la caché, un fallo suele desaparecer; un compromiso resurge por sí solo a través de tareas/CRONs). Comprueba estos criterios antes de activar un plan de incidentes completo, pero si hay alguna duda sustancial, trátalo como un incidente de seguridad.
11) Política de pruebas: conservar, aislar, analizar
En cuanto sospeche de una intrusión, cree instantáneas: haga copias de seguridad de los archivos y de la base de datos, copie los registros de accesos/errores, haga una lista de los procesos activos, exporte las cuentas y los roles. Trabaja con una copia para análisis, mantén la producción bajo estricta vigilancia y evita anunciar el incidente públicamente antes de haber bloqueado las vías de exfiltración. Conserve sus pruebas por si necesita ponerse en contacto con el host, denunciar un abuso o si se requiere una investigación más formal.
Obtenga una auditoría gratuita de su sitio web
12) Lista de control de la detección en profundidad
Superficie web
Compruebe el contenido de la página de inicio y las páginas estratégicas en navegación privada, controle los redireccionamientos por región/dispositivo, inspeccione el código fuente en busca de scripts externos sospechosos, compare el contenido almacenado en caché (CDN) con la versión original, compruebe el cumplimiento de las cabeceras de seguridad (CSP, HSTS, X-Frame-Options).
Archivos e integridad
Compara las versiones del kernel y de las extensiones con las versiones oficiales, enumera los archivos modificados recientemente, busca patrones de puerta trasera (eval, base64_decode, gzuncompress concatenado, create_function anónimo), detecta archivos PHP camuflados (extensiones ejecutables .ico/.png), inspecciona mu-plugins y must-uses que cargan código opaco.
Base y usuarios
Audite los roles recientes, compruebe los correos electrónicos y tokens de recuperación, explore las opciones autocargadas creadas recientemente, rastree inyecciones en entradas/páginas a través de shortcodes exóticos, detecte tareas programadas con nombres inocuos pero muy frecuentes.
Registros y red
Analizar patrones de ataque (picos en wp-login, REST, XML-RPC), filtrar por IP, referer y user-agent, buscar 500/502s correlacionados con POSTs, identificar cadenas de redireccionamiento condicional por dispositivo/UA.
13) Indicadores SEO y reputación
Además de las páginas anómalas, vigile Search Console: alertas sobre URL sospechosas, aumento repentino de soft 404, caída de la cobertura, palabras clave incoherentes con su sector. Comprueba también las listas negras de correo electrónico si envías boletines: un intruso puede secuestrar tus formularios para difundir spam. Si reestructura su contenido después de la limpieza, estas buenas prácticas de taxonomía ayudará a restablecer una indexación coherente y cerrará la puerta a la categorización parasitaria.
14) Situaciones habituales y cómo detectarlas rápidamente
Inyección oculta con un tema hijo
El código insertado en functions.php del tema hijo añade scripts de terceros sólo para no administradores. Prueba: navegación privada, dispositivo diferente, red diferente, volcado de caché CDN. Pista fuerte: scripts externos al final del cuerpo.
Puerta trasera a través de cargas
Un archivo de imagen php en uploads que responde a un parámetro GET y ejecuta comandos. Sugerencia: archivos .php recientes en uploads, 200/POST en esta ruta, peticiones frecuentes desde una única IP.
Spam SEO mediante sitemaps paralelos
Creación de un sitemap clandestino que apunta a páginas fantasma. Sugerencia: presencia de un archivo sitemap-XYZ.xml no generado por su herramienta, envíos de indexación extraños.
Redirección selectiva
Scripts que sólo redirigen en móvil. Pista: disparidad de comportamiento entre escritorio y móvil, redirecciones 302 esporádicas, scripts ofuscados condicionados al user-agent.
15) Protección de sus formularios y audiencias durante la investigación
Si sospecha que se ha producido un ataque, limite temporalmente el envío de mensajes salientes, imponga reCAPTCHA/turnstile en todas partes, suspenda los webhooks a servicios de terceros, archive los clientes potenciales pero no los introduzca automáticamente en sus CRM hasta que se haya confirmado la integridad. Cuando todo se haya limpiado, reanude una integración saludable basada enañadir un formulario de suscripción que se ajusten a las mejores prácticas antiabuso y al cumplimiento del RGPD.
16) Tras la confirmación: contención, erradicación, restauración
En cuanto se confirme el compromiso, aísle (modo de mantenimiento del front-end, bloqueo de la edición desde el exterior, rotación de contraseñas), guarde el estado para los forenses, limpie (archivos, base de datos, cuentas, tareas), actualice y, a continuación, restaure a partir de una instantánea sana si es necesario. Para obtener una hoja de ruta operativa paso a paso que cubra todo el ciclo (contención, recuperación, endurecimiento), siga este enlace guía completa de reparación. No olvides cambiar todos los secretos (SFTP/SSH, DB, claves, tokens) antes de volver a conectarte.
17) Endurecimiento y vigilancia continua para evitar que vuelva a ocurrir
Una buena detección depende de una buena observabilidad. Implemente la supervisión de la integridad de los archivos (hashes), alertas en la creación de admin/CRON, un WAF de aplicación, copias de seguridad inmutables fuera del servidor, actualizaciones automáticas (al menos actualizaciones de seguridad), una política de mínimos privilegios, 2FA para todas las cuentas de alto riesgo, cabeceras de seguridad estrictas (CSP, HSTS), una revisión trimestral de las extensiones. Documente su arquitectura (quién hace qué, dónde están los registros, cómo restaurar). Cuanto mayor sea la visibilidad, más rápido será el tiempo de detección.
18) URL, redireccionamientos y limpieza estructural
Después de un incidente, armonice sus reglas de reescritura y elimine las rutas parásitas; revalide la estructura de los permalinks, reconstruya los sitemaps, purgue la caché CDN y fuerce una reindexación limpia de las páginas principales. Procedimientos paraoptimizar los enlaces permanentes puede utilizarse para recuperar el control del mallado interno y frenar la indexación de páginas residuales.
Obtenga una auditoría gratuita de su sitio web
19) Casos sectoriales y ámbitos específicos de ataque
Algunos verticales son más selectivos (inmobiliario, comercio electrónico, educación) porque concentran datos personales y tráfico cualificado. Por ejemplo, los catálogos inmobiliarios y las páginas de cobro atraen el spam SEO, el scrapping y el secuestro de formularios. Si está creando o relanzando un portal empresarial, inspírese en métodos sólidos para que su sitio sea lo más eficaz posible. presencia en línea para agentes inmobiliarios que incorpora requisitos de seguridad y observabilidad desde la fase de diseño.
20) Escenarios de usuario: cuando el problema no viene de ti
A veces el usuario final ve una alerta, no porque tu alojamiento esté comprometido, sino porque su propio dispositivo está infectado, sus DNS están envenenados o un plugin del navegador está inyectando anuncios. Comprobación rápida: haz pruebas desde varias redes y dispositivos, utiliza un perfil de navegador limpio, compara con un renderizador curl o a través de un servicio de captura independiente. Si la sospecha recae sobre el usuario, explíquele cómo validar la integridad de la página y, si es necesario, guíele hacia recursos para evitar las trampas y comprobar la integridad de la página. reconocer una página trampa.
21) Comunicación de crisis y reputación
La transparencia debe gestionarse con sensibilidad: informe rápidamente a sus usuarios si los datos han quedado expuestos, describa las medidas adoptadas y las recomendaciones (restablecimiento de contraseñas, verificación de transacciones) y facilite un punto de contacto. Documente toda la cronología: detección, contención, borrado, restauración, endurecimiento. Esta documentación será útil durante una auditoría posterior y reducirá el tiempo de respuesta en caso de un futuro incidente.
22) Casos prácticos: atajos de diagnóstico que ahorran horas de trabajo
Compara la renderización como administrador conectado frente a la de un visitante anónimo; haz la prueba por la noche y los fines de semana (algunos programas maliciosos se activan fuera de las horas punta); pasa por un navegador con bloqueador de anuncios y por otro sin él; audita una exportación HTML plana de una página clave (para comprobar el código generado antes de JS). Por último, vigile la salida de correo electrónico: un aumento repentino suele ser el resultado de un secuestro de formularios.
23) Prevención de la regresión SEO tras un incidente
Además de limpiar, tranquilice a los motores: solicite una revisión si se ha emitido una advertencia de seguridad, elimine las URL fantasma del índice, limpie los redireccionamientos 410/301, actualice los sitemaps, reconstruya el mallado interno, compruebe las facetas y las taxonomías. Revisar la estructura editorial y la coherencia de la arquitectura de la información también refuerza la resistencia ante intentos de explotar páginas huérfanas o archivos; un recordatorio de la buenas prácticas de taxonomía es relevante en esta fase.
24) Cuándo delegar la auditoría y la limpieza
Si los indicios se multiplican, la criticidad del negocio es alta o carece de visibilidad de los servidores, delegue el análisis y la solución a un equipo especializado. Un punto de vista externo proporciona herramientas de investigación, un método probado y un plazo de resolución más corto, al tiempo que le permite concentrarse en la comunicación y la continuidad de la actividad. Puede solicitar un Auditoría técnica gratuita para priorizar las acciones y obtener un plan de tratamiento inmediato.
25) Recursos adicionales y resumen
La mejor detección es la proactiva: registros centralizados, alertas sobre comportamientos anómalos, integridad de los archivos, actualizaciones de seguridad, copias de seguridad comprobadas, segmentación de los accesos, endurecimiento de los formularios y vigilancia de las vulnerabilidades de sus componentes. En caso de duda, repase la lista de Signos comunes de hackeo de WordPress. Y recuerde: no se detenga ante el síntoma más visible. Los atacantes buscan persistencia. Compruebe las tareas programadas, los puntos de entrada, la base y las redirecciones.
Aplicando este método, podrá reducir el tiempo de detección, limitar el impacto en su audiencia y su referenciación, y volver a la actividad con tranquilidad. Una vez contenido y limpiado el ataque, no olvides industrializar tus rutinas de seguridad y vigilancia para convertir el incidente en una palanca de mejora continua.
