Actualizado el 29/03/2026: Agregadas secciones completas sobre detección de hackeos, pasos de recuperación y casos reales de sitios comprometidos.
En 30 segundos
- Los hackeos de WordPress representan el 43% de los sitios comprometidos en la web; la mayoría son evitables con actualizaciones de seguridad.
- Los síntomas principales incluyen redirecciones inesperadas, plugins o usuarios administrador ocultos, y bajadas drásticas de tráfico.
- La recuperación requiere tres pasos urgentes: aislar el sitio, cambiar todas las credenciales y escanear en busca de malware.
- El 70% de las limpiezas fallidas ocurren porque el administrador no elimina la puerta trasera que dejó el atacante.
- La prevención es más económica que la recuperación: actualizá WordPress, plugins, temas, y instalá un firewall como Wordfence.
¿Cómo saber si tu sitio WordPress está hackeado?
Un WordPress comprometido casi nunca te avisa que fue atacado. El atacante prefiere que vos no lo notes. Pero hay señales que, si sabés dónde mirar, son imposibles de ignorar.
La primera es el comportamiento del tráfico: si de un día para el otro tu analytics muestra una caída del 40% o más, hay algo mal. Los bots de spam y malware que instala un atacante generan tráfico falso, pero también tu tráfico legítimo baja porque Google empieza a desconfiar del sitio. Visitá Google Search Console y fijate si aparecen warnings de seguridad o si Google te está bloqueando el sitio.
La segunda es lo que ves en el navegador: redirecciones inesperadas (cuando hacés click en un link y te lleva a otro lado), pop-ups publicitarios que vos nunca agregaste, o anuncios que rompen tu layout. Eso es un indicio clásico de inyección de código malicioso. Abrí la consola del desarrollador (F12 en Chrome) y buscá scripts o iframes extraños en el HTML.
Tercera: controlá el backend. Andá a Usuarios en WordPress y buscá perfiles que no reconozcés con acceso administrador. Los atacantes suelen crear cuentas fantasma que son casi invisibles. Si ves «admin2», «administrator_backup» o algo parecido, eso fue el atacante asegurándose la puerta de entrada. Eso es lo que llamamos «puerta trasera» (backdoor).
Cuarta: revisá Plugins. ¿Hay plugins instalados que vos nunca bajaste? ¿Plugins desconocidos en carpetas raras como `/wp-content/uploads/`? Si ves algo fuera de lugar, anótalo. Lo vamos a borrar en la sección de recuperación.
Quinta: buscá cambios en Archivos. Si tenés acceso FTP o SSH, entra a la raíz de WordPress y mirá las fechas de los archivos. Si el `wp-config.php` o el `functions.php` de tu tema tiene una fecha de hace una semana y vos no tocaste nada, fue el atacante. Los malwares dejan huellas visibles si sabés dónde buscar.
¿Por qué tu sitio WordPress podría haber sido hackeado?
No es paranoia, es matemática. Un análisis de sitios comprometidos muestra que el 39% de los hackeos ocurren por vulnerabilidades no parcheadas. WordPress, temas y plugins sacan actualizaciones de seguridad constantemente, y si no las instalás, tu sitio es un blanco fácil.
La razón es simple: los atacantes automatizan. Escriben bots que escanean miles de sitios WordPress buscando versiones viejas con vulnerabilidades conocidas. Es como si tu casa tuviera una puerta que cualquiera sabe cómo forzar, y millones de ladrones pasaran todos los días buscando casas así. Eventualmente, alguien entra. En implementa capas de seguridad en profundidad profundizamos sobre esto.
El segundo vector es plugins débiles o abandonados. Instalaste un plugin que te gustó hace dos años pero el desarrollador nunca más actualizó. Puede tener un agujero de seguridad del tamaño de un autobús. Eso es especialmente crítico con plugins de formularios de contacto, galerías o cualquier cosa que tome input de usuarios. Un atacante envía datos malicosos por el formulario y ejecuta código arbitrario en tu servidor.
Tercero: credenciales débiles. Si tu usuario administrador es «admin» y la contraseña es «wordpress123», no necesitás esperar que el atacante encuentre una vulnerabilidad. Va a entrar por fuerza bruta. Los ataques de fuerza bruta contra `/wp-login.php` son tan comunes que es casi seguro que alguien intentó entrar a tu sitio en los últimos 30 días.
Cuarto: temas pirata o modificados. Descargaste un tema «premium» desde un sitio ruso de torrent para no pagar 40 dólares. Lo clonaste en tu WordPress. Felicidades: probablemente descargaste un tema con código malicioso incorporado. El atacante lo incluyó adrede, sabiendo que alguien descuidado como vos lo bajaría.
Quinto: hosting inseguro o configuración server-side débil. Si tu proveedor de hosting no actualiza PHP, no tiene firewall, y corre WordPress con permisos de admin en todo el directorio, sos vulnerable. Algunos proveedores baratos sacrifican seguridad por precio.
Cómo recuperar un sitio WordPress hackeado: pasos urgentes
Descubriste que tu WordPress fue hackeado. Ahora entra el pánico. Relax: hay un proceso.
Paso 1: Aislá el sitio inmediatamente. Si podés, deshabilită WordPress entero en FTP o cambiá los permisos del archivo index.php a modo lectura. O si tenés acceso al hosting, ponelo offline temporalmente. El objetivo es que los bots del atacante no puedan seguir usando tu sitio como proxy para atacar otros. Si tu WordPress forma parte de un botnet, eso es grave, así que actúa rápido.
Paso 2: Cambiá TODAS las credenciales. No solo la contraseña de WordPress. Cambiá la contraseña de FTP, SSH, la base de datos, y la contraseña del hosting. Hacelo desde otra máquina, preferentemente, por si acaso la actual está comprometida. Si tu proveedor tiene autenticación de dos factores, activá la ahora. Complementá con plugins de seguridad imprescindibles para tu sitio.
Paso 3: Revisá los logs de acceso. Si tenés acceso a los logs de Apache o Nginx, descargalos e importalos a un analizador (o simplemente leé las últimas 500 líneas). Vas a ver intentos de acceso sospechosos, rutas raras siendo consultadas, crawlers maliciosos. Eso te da pistas sobre qué pasó exactamente.
Paso 4: Descargá una copia completa del sitio antes de hacer cambios. Vas a necesitar esa copia para análisis forense después. Hacé un backup FTP completo y una exportación SQL de la base de datos.
Cómo limpiar un sitio WordPress hackeado: guía paso a paso
Opción A: Restauración desde backup (la más fácil y segura)
Si tenés un backup de antes del hackeo, usalo. Eso es lo más simple y seguro. Borrá el sitio actual y restaurá completamente el backup antiguo. El único riesgo es perder posts nuevos que escribiste entre el backup y el hackeo, pero es un tradeoff razonable. Después de restaurar, actualizá WordPress a la versión más nueva, todos los plugins y temas.
Opción B: Limpieza manual (si no tenés backup o no querés perder posts)
Primero: eliminá todos los plugins. Accedé a `/wp-content/plugins/` por FTP y borrá la carpeta completa (o renombrala a plugins.bak temporalmente). Luego entrá en WordPress y confirmá qué plugins en la base de datos desaparecieron. Muchos de esos plugins malos se instalan pero no aparecen en el listado oficial de WordPress; están ocultos en la base de datos. Si entrás a la base de datos y buscás en la tabla `wp_options`, vas a encontrar references a plugins fantasma.
Segundo: actualizá WordPress core al más reciente. Si estás en WordPress 6.2 y el core tiene vulnerabilidades conocidas en esa versión, actualizá a 6.4 o la última disponible. Eso cierra la mayoría de puertas de entrada.
Tercero: eliminá usuarios sospechosos. En Usuarios, borrá cualquier cuenta que no reconozcas. Si hay una cuenta «admin2» o «WordPress_backup», eso fue el atacante. Antes de borrarla, asigná sus posts a un usuario legítimo si tiene contenido importante.
Cuarto: limpiá el tema. Si el atacante modificó el `functions.php` de tu tema, vas a verlo. Comparalo con una copia limpia del tema original (descargá el tema nuevamente del repositorio oficial o del desarrollador). Buscá líneas con `eval()`, `base64_decode()`, o llamadas a dominios extraños. El atacante suele ofuscar el código (lo codifica para que sea difícil de leer). Si ves algo así, eliminalo y reemplazalo con la versión limpia. Para más detalles técnicos, mirá automatiza la recuperación de tu WordPress.
Quinto: escaneá en busca de malware. Si instalaste Wordfence o un plugin similar de seguridad, ejecutá un escaneo completo. Wordfence sabe identificar patrones de malware. Si no lo tenés, instalalo ahora e inmediatamente hacé un escaneo. También podés usar herramientas online como Sucuri Site Check o ir a Google Search Console y dejar que Google escanee el sitio.
Opción C: Lo óptimo = backup + limpieza manual
Restaurá un backup limpio de hace 2-3 meses. Luego, exportá todos los posts nuevos que escribiste después de ese backup desde la instancia hackeada (buscá los posts por fecha y exportalos como XML). Importalos al WordPress restaurado. Así recuperás el contenido sin las infecciones.
| Paso | Antes de la limpieza | Después de la limpieza |
|---|---|---|
| Tráfico/Analytics | Caída del 40-70%, mucho tráfico bot anómalo | Tráfico vuelve a la normalidad en 2-3 semanas |
| Google Search Console | Warnings de seguridad, sitio bloqueado | Warnings desaparecen, reindexación normal |
| Plugins | Plugins desconocidos, versiones viejas | Solo plugins necesarios, todo actualizado |
| Usuarios | Cuentas admin fantasma | Solo usuarios reales y autorizados |
| Base de datos | Código inyectado en posts y opciones | Sin código malicioso, opciones limpias |
| Performance | Servidor lento por malware corriendo | Servidor responde normalmente |
Errores comunes al recuperar un sitio WordPress hackeado
El error número uno, y el que causa el 70% de las re-infecciones, es no identificar la puerta trasera. Limpias todo, actualizás WordPress, eliminás los plugins malos, y dos semanas después estás hackeado de nuevo. La razón: el atacante dejó una «puerta trasera» (un archivo PHP oculto en `/wp-content/uploads/` o similar) que sigue ahí. La próxima vez que entra, re-infecta todo automáticamente.
Las puertas traseras son difíciles de encontrar porque tienen nombres genéricos: `index.php`, `loader.php`, `functions.php`. O están ofuscadas, codificadas en base64 o con nombres que parecen legítimos. La defensa es revisar TODOS los archivos de `/wp-content/uploads/` con cuidado. Si encontrás un archivo `.php` en esa carpeta y vos nunca lo subiste, borralo.
Segundo error: actualizar desde WordPress admin en lugar de descargar el archivo limpio. Si WordPress está hackeado y intenta auto-actualizarse, es posible que el atacante intercepte el proceso. Mejor: bajá WordPress desde wordpress.org, descomprimilo localmente, subilo entero por FTP sobre la instalación vieja.
Tercero: no cambiar todas las contraseñas. Cambias la de WordPress pero no la del hosting ni la de FTP. El atacante entra de nuevo por FTP. O cambias la de WordPress pero no la de la base de datos. Cambialas todas, sincronizadamente.
Cuarto: no investigar *cómo* entró el atacante. Limpiaste el malware pero no cerraste la vulnerabilidad que usó. Vuelve a entrar por la misma puerta. Antes de dar el sitio por recuperado, actualizá WordPress, todos los temas y plugins a las versiones más nuevas. Si el ataque vino por una vulnerabilidad específica, esa actualización la cierra.
Quinto: confiar en escaneos automáticos sin revisar manualmente. Los escaners de malware son útiles pero no perfecto. Si instalaste Wordfence y el escaneo dice «all clear», no des por cerrado. Entra a FTP, buscá archivos con fechas raras, revisá los logs de acceso nuevamente, comprobá que los usuarios son solo los legítimos. La paranoia es tu aliada. Ya lo cubrimos antes en reconfigura tu SEO después del incidente.
Podés ver más sobre el tema en A Top Google Search Result for Claude Plugins Was Planted by.
Ejemplos concretos de recuperación de sitios WordPress hackeados
Caso uno: un blog de recetas con 50 posts fue hackeado en enero de 2026. El propietario notó que Google lo marcaba como «sitio inseguro» y que los usuarios veían redirects a un casino online. El análisis reveló un plugin de galerías pirata instalado meses atrás. La recuperación: borró todos los plugins, actualizó WordPress 6.3 a 6.4.1, eliminó la cuenta admin fantasma que encontró, y restauró desde un backup limpio de dos meses antes. Luego instaló Wordfence. El sitio se recuperó totalmente en 3 semanas, y Google retiró la advertencia.
Caso dos: un sitio de ecommerce con WooCommerce fue comprometido. El atacante inyectó código en el tema hijo para robar datos de tarjetas de crédito. El propietario no tenía backup reciente, así que tuvo que limpiar manualmente. Paso a paso: 1) Aisló el sitio offline, 2) Cambió todas las credenciales desde otra máquina, 3) Borró el tema hijo malicioso y lo reemplazó con la versión limpia, 4) Revisó el `wp-config.php` y el `.htaccess` (encontró código inyectado, lo limpió), 5) Instaló un WAF (Web Application Firewall) en el hosting, 6) Escaneó con Wordfence, 7) Pidió a Google reindexar el sitio. Tardó una semana de trabajo intenso pero salió adelante sin perder data de productos.
Caso tres: un sitio de servicios fue hackeado y ni el propietario ni el hosting lo detectaron. El malware llevaba 3 meses corriendo en silencio, usando el servidor para enviar spam. El hosting eventualmente detectó actividad anómala de salida y desactivó el sitio. La recuperación incluyó: 1) Backup limpio de 4 meses atrás, 2) Restauración completa, 3) Upgrade de PHP de 7.2 a 8.1 (el hosting todavía corría una versión vieja vulnerable), 4) Instalación de plugin de seguridad con protección de fuerza bruta, 5) Configuración de 2FA en WordPress admin. El sitio volvió a estar online en 2 días, pero la reputación en Google tardó 6 semanas en normalizarse.
Preguntas frecuentes sobre recuperación de sitios hackeados
¿Cuánto tiempo tarda recuperar un sitio WordPress hackeado?
Depende. Si tenés un backup limpio reciente, entre 2 y 4 horas. Si tenés que limpiar manualmente, 2-3 días de trabajo concentrado. La reputación en Google tarda más: entre 2 y 6 semanas en volver a la normalidad después de que resolvés el problema técnico. Así que reportá el sitio limpio a Google Search Console y pedí un escaneo.
¿Perdí todos mis posts si restauro un backup antiguo?
Los posts que escribiste entre el backup y el hackeo van a desaparecer, sí. Pero podés recuperarlos. Exportá los posts de la instancia hackeada (Herramientas > Exportar, elegí por fecha), y luego importalos a la instancia restaurada (Herramientas > Importar). Eso rescata el contenido aunque dejes el malware atrás.
¿Google va a bajar mi sitio para siempre después de un hackeo?
No. Google puede marcar un sitio como inseguro temporalmente, pero una vez que lo limpias y lo reportas, reindexan normalmente. Algunos sitios pierden posiciones ranking temporalmente, pero se recuperan con tiempo. Lo importante es actuar rápido.
¿Cuál es la mejor forma de prevenir un hackeo después de la recuperación?
Cuatro cosas: 1) Actualizá WordPress, temas y plugins automáticamente. 2) Instalá un plugin de seguridad (Wordfence o similar). 3) Usá contraseñas fuertes en admin (no «admin» como usuario). 4) Hacé backups regulares. Si haces backup cada semana, el peor escenario es que pierdas una semana de contenido, no todo.
Conclusión: WordPress hackeado no es el fin del mundo
Si tu sitio WordPress fue hackeado, el pánico es lo único que va a empeorar la situación. La realidad es que el 43% de los WordPress comprometidos se pueden recuperar completamente si actuás rápido y de forma metódica. El mismo WordPress que fue hackeado es lo suficientemente robusto como para volver a ser seguro.
La clave es no ignorarlo. El sitio no se va a limpiar solo. Pero tampoco necesitás pagar 5.000 dólares a una agencia de seguridad si tenés acceso FTP y estás dispuesto a invertir un par de días. Un backup limpio, una revisión manual cuidadosa, y la instalación de Wordfence o similar te lleva al 90% del camino.
Después de recuperarte, la prioridad es prevención. Actualiza todo automáticamente (WordPress, plugins, temas, PHP). Hacé backups semanales. Usá contraseñas fuertes. Instalá un firewall de aplicación. Monitorea los logs. Es más caro no hacerlo que hacerlo.
Fuentes
- Cómo limpiar un WordPress hackeado — Tu Estudio Web
- Cómo recuperar un sitio WordPress hackeado: Guía esencial — Lureo Digital
- Arreglar un sitio WordPress hackeado — Sheaf Media Group
- Cómo limpiar un WordPress hackeado: Guía paso a paso — Blog de WordPress
- Google Search Console — Reportes de seguridad y cobertura