El malware de redirecciones wordpress es código malicioso inyectado en los archivos o la base de datos de un sitio que envía automáticamente a los visitantes hacia páginas de spam, phishing, casinos online o instaladores de adware. Mientras eso pasa, el administrador del sitio no ve absolutamente nada: el código detecta cookies de sesión activa y filtra los bots de Google para pasar desapercibido. El resultado es tráfico perdido, reputación destruida y, en el peor caso, penalización directa en los resultados de búsqueda.
El redirect malware opera de forma selectiva. Evalúa cada petición entrante: si reconoce el user agent de Googlebot, Bingbot o cualquier rastreador conocido, deja pasar sin redirigir. Si detecta una cookie de login de WordPress, tampoco actúa. Pero si el visitante es un usuario real con un navegador común y sin sesión abierta, activa la redirección hacia la URL que el atacante configuró. Esa selectividad es exactamente lo que lo hace difícil de diagnosticar desde adentro del sitio.
En 30 segundos
- Los visitantes ven redirecciones, vos no: el malware detecta cookies de admin y omite las redirecciones cuando estás logueado.
- El código malicioso vive en múltiples lugares a la vez: functions.php, index.php, .htaccess y en la tabla wp_options de la base de datos.
- Herramientas de detección gratuitas: Sucuri SiteCheck (online, sin instalar nada) y Wordfence (plugin de WordPress) son los puntos de partida lógicos.
- Eliminar el código visible no alcanza: si no buscás y cerrás los backdoors, la reinfección ocurre en días.
- Recuperación con Google: pedí revisión en Search Console; la penalización puede tardar entre 1 y 4 semanas en levantarse.
¿Qué es el malware de redirecciones en WordPress y cómo funciona?
Ponele que entrás a tu propio blog desde una ventana de incógnito, sin estar logueado, para ver cómo queda un artículo nuevo. En vez de cargar el post, el navegador te lleva a una página de «ganaste un iPhone» o directamente a un casino online. Volvés al admin, editás ese mismo post: todo normal. Ese comportamiento selectivo es la firma del redirect hack.
El código que hace posible esto vive en uno o varios archivos PHP del sitio, a veces también en la base de datos, y corre en cada carga de página. Según el análisis de Sucuri, estas infecciones suelen usar técnicas de ofuscación como eval() combinado con base64_decode() para que el código malicioso no sea legible a simple vista en los archivos. Eso complica la detección manual.
Las consecuencias no tardan. Primero, los visitantes se van antes de ver una línea de tu contenido, lo que dispara la tasa de rebote y destruye el engagement en Analytics. Segundo, cuando Google lo detecta (ya sea por denuncias de usuarios, por rastreos desde IPs no identificadas como bots, o por análisis de comportamiento), aplica la etiqueta de «sitio engañoso» y puede sacar páginas del índice. Recuperarse de eso lleva semanas.
Síntomas: ¿Cómo saber si tu WordPress tiene malware de redirecciones?
El síntoma principal lo van a reportar tus lectores, no vos. Diagnosticar desde el panel de admin no sirve porque el malware te evita específicamente a vos (te tiene en la lista de excluidos). Esto es lo que hay que buscar:
- Redirecciones aleatorias a sitios de spam o phishing: el visitante entra a cualquier URL del sitio y termina en un dominio externo. Puede pasar en el primer clic o después de varios segundos de carga.
- Captchas falsos o alertas de «verificación»: algunos redirect hacks mandan a páginas que imitan captchas de Google para instalar extensiones maliciosas o activar suscripciones a push notifications.
- Notificaciones push no configuradas por vos: si el sitio empieza a pedir permisos de notificación que nunca activaste, hay código de terceros corriendo en el frontend.
- Caída de tráfico sin causa aparente: el malware aleja visitantes antes de que la página termine de cargar, lo que se traduce en sesiones muy cortas o ausencia de datos en Analytics.
- Alertas en Google Search Console: el panel de Seguridad de GSC muestra avisos de «software malicioso» o «contenido engañoso» cuando Google detecta redirecciones desde tus URLs.
- Snippets alterados en los resultados de búsqueda: algunos malwares modifican los títulos e descripciones que Google indexa para mostrar contenido de spam directamente en los resultados.
Un detalle que no siempre se menciona: el malware puede configurarse para redirigir solo en la primera visita de cada IP (spoiler: porque deja una cookie que lo marca como «ya redirigido»). Si entrás desde tu celular sin sesión, redirige. Si recargás la misma página enseguida, ya no pasa nada. Ese comportamiento confunde el diagnóstico si no sabés qué buscar.
¿Dónde se inyecta el código malicioso en WordPress?
El redirect malware no vive en un solo lugar. Una vez que el atacante tiene acceso, siembra código en múltiples puntos para que si encontrás uno, el sitio siga infectado desde otro. Sucuri documenta los siguientes como los blancos más frecuentes.
Archivos PHP del tema activo
functions.php y footer.php del tema activo son los favoritos porque se ejecutan en cada carga de página, sin excepción. El código malicioso aparece al principio o al final del archivo, casi siempre obfuscado con eval(base64_decode(...)) para no ser legible directamente.
Archivos del núcleo de WordPress
index.php en la raíz del sitio, wp-settings.php y wp-blog-header.php son los más afectados del núcleo. Tocar estos archivos es audaz porque las herramientas de integridad los detectan rápido, pero en sitios sin monitoreo nadie los revisa.
.htaccess (solo servidores Apache)
Un par de líneas de RewriteRule en .htaccess pueden redirigir todo el tráfico antes de que WordPress siquiera arranque. Las redirecciones por .htaccess son invisibles para plugins que solo analizan código PHP.
Base de datos: tabla wp_options
Esta es la que menos se chequea (si es que eso cuenta como «revisión»). Algunos malwares guardan las URLs de destino o fragmentos de JavaScript en opciones de WordPress, especialmente en los campos siteurl, home, o en opciones de plugins que se ejecutan automáticamente al cargar el sitio. Si el código está en la base de datos pero no en los archivos, los escáneres de archivos van a reportar que todo está limpio. Con acceso a phpMyAdmin, buscá en la tabla wp_options filas que contengan eval( o base64 en el campo option_value. Cualquier resultado ahí es señal de alerta. Ya lo cubrimos antes en herramientas especializadas en limpieza.
¿Cómo detectar malware de redirecciones: herramientas y métodos paso a paso?
Antes de tocar nada, confirmá el diagnóstico con herramientas. Hay dos caminos.
Herramientas de escaneo (el punto de partida)
- Sucuri SiteCheck: escáner online en sitecheck.sucuri.net que analiza el HTML público del sitio y detecta redirecciones maliciosas, código conocido y estado en listas negras de Google, McAfee y otros. No requiere instalar nada. Limitación: solo analiza lo que un navegador vería; si el malware filtra el rastreador de Sucuri, puede pasar sin ser detectado.
- Wordfence Security (plugin): escanea los archivos del servidor contra copias limpias del repositorio de WordPress.org. Detecta modificaciones en archivos del núcleo, temas y plugins, y marca código malicioso conocido. Tiene versión gratuita con escaneo básico.
- Jetpack Protect: escanea contra una base de datos de malware conocido. Útil como segunda opinión si Wordfence no encuentra nada concreto.
Revisión manual cuando los escáneres no llegan
- Buscá eval() y base64_decode(): en el administrador de archivos del hosting o vía FTP, hacé una búsqueda en todos los archivos PHP. Una aparición de
eval(base64_decode(en functions.php o index.php es malware hasta demostrar lo contrario. - Revisá usuarios administradores desconocidos: en Usuarios → Administradores, fijate si hay cuentas que no reconocés. Los ataques por fuerza bruta suelen crear un usuario admin nuevo antes de instalar el malware.
- Fechas de modificación de archivos: en el administrador de archivos, ordená por fecha de modificación. Si functions.php tiene una fecha que no corresponde a ninguna actualización que vos hiciste, algo pasó ahí.
- Logs del servidor: los logs de acceso muestran si hubo un volumen inusual de peticiones POST o IPs que enviaron payloads sospechosos. Tu proveedor de hosting puede darte acceso o mostrarte alertas si hubo actividad anómala.
Pasos para eliminar malware de redirecciones: método manual vs automático
Acá viene lo bueno, y también el error más común: creer que con borrar las líneas maliciosas del functions.php ya está solucionado. No funciona así.
Encontrás el código en functions.php, lo borrás, te parece que todo quedó limpio, recargás desde incógnito, la redirección desapareció, y al tercer día el sitio vuelve a redirigir porque había un backdoor en uploads/wp-blockdown.php que siguió ahí todo el tiempo y el atacante lo usó para reinyectar el código malicioso sin que nadie lo notara.
Opción A: limpieza manual
- Backup completo antes de tocar nada: archivos y base de datos. Si algo sale mal, necesitás poder volver atrás.
- Reemplazá los archivos del núcleo de WordPress: descargá una copia limpia de WordPress.org y reemplazá las carpetas
/wp-includes/y/wp-admin/completas. El archivo wp-config.php y la carpeta/wp-content/no se tocan en este paso. - Limpiá los archivos del tema activo: functions.php, footer.php, header.php. Si encontrás código obfuscado con eval(), borralo. Si no podés distinguir qué es legítimo, reinstalá el tema desde cero con la versión oficial (no «nulled»).
- Revisá la base de datos con phpMyAdmin: en wp_options, buscá valores que contengan scripts o URLs externas. Prestá atención a siteurl, home y cualquier opción que empiece con «widget_».
- Buscá backdoors activamente: archivos con nombres raros en la raíz o en /wp-content/uploads/ (que no debería tener PHP). Nombres como
_a.php,config-test.php,wp-blockdown.php. Esos son los que garantizan la reinfección si los dejás.
Opción B: servicio especializado
Si el malware está bien obfuscado o hay decenas de archivos afectados, la limpieza manual lleva horas sin garantía de encontrar todo. Los servicios de Sucuri o Wordfence Care acceden a bases de datos de malware actualizadas y hacen comparación archivo por archivo. La ventaja práctica: si la infección vuelve dentro del período de garantía, limpian de nuevo sin costo adicional.
| Herramienta | Tipo | Escaneo gratuito | Limpieza automática | Monitoreo continuo |
|---|---|---|---|---|
| Sucuri SiteCheck | Online | Sí | No (requiere plan pago) | No |
| Wordfence Free | Plugin | Sí | Parcial | Sí (alertas básicas) |
| Wordfence Care | Plugin + servicio | Sí | Sí (con garantía) | Sí (tiempo real) |
| MalCare | Plugin / SaaS | Sí | Sí (un clic) | Sí |
| Revisión manual | Manual | N/A | Depende de experiencia técnica | No (sin plugin extra) |
¿Cómo prevenir futuros ataques de redirecciones maliciosas?
La prevención es el tema incómodo porque el mayor vector de infección son las cosas que todos sabemos que hay que hacer y casi nadie hace de forma sistemática.
- Actualizaciones al día, siempre: WordPress core, todos los plugins y todos los temas, incluso los inactivos. La mayoría de las infecciones de redirect malware entran por vulnerabilidades conocidas y ya parchadas en la versión nueva. Si no actualizás, estás dejando la puerta abierta.
- Eliminá lo que no usás: cada plugin instalado aunque esté desactivado es una superficie de ataque. Si no lo usás, borralo.
- Cero plugins o temas nulled: un tema pirata es casi siempre un backdoor con funcionalidad incluida. La versión «gratis» del premium sale cara.
- Contraseñas fuertes y únicas, cambiadas post-incidente: después de limpiar una infección, cambiar la contraseña de WordPress, del FTP y del panel de hosting es obligatorio. Si la contraseña fue comprometida y no la cambiás, el atacante vuelve.
- 2FA en wp-admin: autenticación en dos factores agrega una capa que ningún ataque de fuerza bruta puede superar directamente. Plugins como Two Factor Authentication lo configuran en minutos.
- Firewall de aplicaciones web (WAF): filtra tráfico malicioso antes de que llegue a WordPress. Wordfence lo incluye; también podés configurarlo a nivel hosting en donweb.com dependiendo del plan que tengás.
- Backups automáticos regulares: tener un backup limpio de 48 horas atrás cambia completamente el horizonte de recuperación ante un ataque.
- Monitoreo de integridad de archivos: Wordfence avisa cuando un archivo del núcleo de WordPress fue modificado. Esa alerta recibida a tiempo puede reducir el daño de días a horas.
¿Cuánto tarda Google en levantar la penalización tras eliminar el malware?
Limpiaste el sitio, los escáneres dan verde, y Chrome todavía muestra «Este sitio puede dañar tu computadora». ¿Cuánto tiempo más? Sobre eso hablamos en soluciones de seguridad profesionales.
Cuando Google detecta que tu sitio distribuye malware o redirige a páginas dañinas, aplica una penalización que aparece en los resultados de búsqueda y activa la alerta en Chrome. Para levantar esa etiqueta hay que solicitar una revisión manual en Google Search Console: vas a Seguridad y acciones manuales, describís en detalle qué encontraste, cómo lo limpiaste y qué medidas tomaste para evitar que vuelva a pasar. Cuanto más detallado el reporte, mejor.
El tiempo de respuesta varía y hay que tomarlo con pinzas porque Google no publica SLAs, pero la experiencia de la comunidad indica entre 1 y 4 semanas desde la solicitud hasta que desaparece la etiqueta. Si tu sitio tenía muchas URLs afectadas, generá un sitemap nuevo y enviálo en GSC para acelerar el recrawleo de las páginas ya limpias.
Ojo: la recuperación del ranking orgánico puede tardar más que el levantamiento de la etiqueta de sitio peligroso. Google indexa páginas limpias, pero el historial de comportamiento malicioso pesa en los algoritmos. Ese daño se recupera con contenido nuevo y señales de que el sitio volvió a ser confiable, no solo con un pedido de revisión.
Errores comunes al limpiar un sitio con redirect malware
- Limpiar solo los archivos y no la base de datos: el malware en wp_options sobrevive una reinstalación completa de WordPress porque la base de datos no se toca. El sitio parece limpio y a los dos días vuelve a redirigir.
- No buscar los backdoors después de la limpieza: el código de redirección es la parte visible; el backdoor es la puerta que el atacante usará para volver. Eliminar el primero sin cerrar el segundo es limpiar la casa sin cerrar la ventana rota.
- Cambiar solo la contraseña de WordPress: si el atacante entró por FTP o por el panel de hosting, cambiar la contraseña de WP no cierra esa vía. Hay que cambiar todo: WP admin, FTP, panel de control, base de datos y cualquier cuenta de email del hosting.
- Reinstalar software nulled después de la limpieza: si la infección original entró por un plugin pirata, reinstalarlo es volver a infectarse con un paso intermedio.
- Pedir revisión a Google antes de terminar la limpieza: si GSC aprueba y el sitio todavía tiene malware, el próximo ciclo de detección deja el historial en peor estado.
Preguntas Frecuentes
¿Por qué mi WordPress redirige a otros sitios?
Tu sitio tiene malware de redirecciones: código inyectado por un atacante que aprovechó una vulnerabilidad en plugins o temas desactualizados, o credenciales débiles comprometidas por fuerza bruta. El código detecta visitantes reales y los envía a sitios externos bajo control del atacante, mientras los administradores logueados y los bots de búsqueda no ven nada. El primer paso es confirmarlo con Sucuri SiteCheck o Wordfence desde una ventana sin sesión activa.
¿Cómo detectar si mi WordPress tiene malware de redirecciones?
Abrí el sitio desde una ventana de incógnito sin estar logueado y fijate si redirige. También podés usar el escáner gratuito de Sucuri (sitecheck.sucuri.net) sin instalar nada. Si Google Search Console muestra alertas en el panel de Seguridad, eso confirma el diagnóstico. La señal clave: vos como admin no ves redirecciones, pero los visitantes sí. En herramientas efectivas para eliminar malware profundizamos sobre esto.
¿Cómo eliminar malware de redirecciones en WordPress?
La limpieza requiere tres etapas en orden: identificar y eliminar el código malicioso de los archivos afectados (functions.php, index.php, .htaccess) y de la base de datos (tabla wp_options); buscar y eliminar los backdoors que el atacante dejó para volver; y cambiar todas las contraseñas y actualizar WordPress, plugins y temas. Sin las tres etapas completas, la reinfección es probable en cuestión de días.
¿Cuáles son las herramientas para limpiar malware en WordPress?
Para escaneo gratuito: Sucuri SiteCheck (online) y Wordfence Security (plugin). Para limpieza automática con garantía: el servicio de Sucuri y Wordfence Care son los más usados por profesionales de seguridad WordPress. MalCare ofrece limpieza con un clic en su versión paga. Si tenés experiencia técnica, la limpieza manual con acceso a phpMyAdmin y FTP también funciona, aunque requiere más tiempo y criterio para no saltear pasos.
¿Cuánto tarda Google en quitar la alerta de sitio peligroso?
Después de limpiar el sitio y solicitar revisión en Google Search Console, la etiqueta de «sitio peligroso» suele tardar entre 1 y 4 semanas en desaparecer. La recuperación del ranking orgánico puede llevar más tiempo porque el historial de comportamiento malicioso pesa en los algoritmos. Generar un sitemap limpio y enviarlo en GSC post-limpieza acelera el recrawleo de las URLs afectadas.
Conclusión
El malware de redirecciones en WordPress es uno de los ataques más dañinos porque es invisible para quien administra el sitio. Mientras vos ves todo normal, tus visitantes están siendo derivados a sitios de spam, y tu historial con Google se deteriora en silencio.
La limpieza tiene tres pasos no negociables: código malicioso en archivos y base de datos, backdoors, y rotación completa de credenciales. Saltear cualquiera garantiza reinfección. Después, la revisión en Search Console y tiempo: la recuperación del ranking lleva semanas, pero se recupera.
Lo que sí queda en tus manos prevenir es más simple: actualizar siempre, no usar software pirata y tener backups que funcionen de verdad. Tres hábitos que hacen que la mayoría de estos ataques no encuentren la entrada que necesitan.