El pharma hack inyecta código en WordPress que redirige visitantes a sitios de medicamentos ilegales: Viagra, Cialis, Xanax. El truco es el cloaking: vos no lo ves logueado, pero tus visitantes sí. Con Wordfence para eliminar el redirect hack, el proceso toma entre 30 minutos y 2 horas, según cuánto se haya profundizado el malware.
En 30 segundos
- El pharma hack usa cloaking: muestra el sitio normal a admins y bots, y redirige a farmacias spam solo a visitantes comunes que llegan desde Google.
- Los archivos más comprometidos: .htaccess, wp-config.php, functions.php y archivos de plugins son los blancos preferidos del malware.
- Primera señal visible: alertas de «sitio comprometido» en Google Search Console o redirecciones visibles al abrir el sitio en modo incógnito desde otro dispositivo.
- Herramientas clave: Wordfence (monitoreo y detección), Sucuri SiteCheck (escaneo externo gratuito) y MalCare (limpieza automática con un clic).
- Después de limpiar: pedí revisión en Google Search Console, cambiá todas las contraseñas y eliminá usuarios admin desconocidos.
¿Cómo funciona un redirect hack pharma en WordPress?
El pharma hack (también llamado redirect hack o SEO spam farmacéutico) es un ataque donde intrusos inyectan código malicioso en tu WordPress para redirigir visitantes a sitios que venden medicamentos de venta controlada: Viagra, Cialis, Levitra, Xanax, Tadalafil. Es una de las infecciones más difíciles de detectar porque usa cloaking.
¿Cómo funciona el cloaking exactamente? El código malicioso detecta quién hace el request. Si sos vos, logueado como admin, o si es Googlebot rastreando el sitio con su user-agent habitual, todo se ve normal. Pero si llega un visitante que viene de un resultado de búsqueda sin sesión activa, el servidor lo manda a una página de farmacia (sin que vos te enteres de nada).
Eso explica por qué muchos propietarios tardan semanas en darse cuenta. Entrás a tu WordPress, navegás por el sitio, todo parece bien. Mientras tanto, cada visitante real está viendo páginas de pastillas azules.
Los atacantes generalmente entran por un plugin desactualizado, un tema con código viejo, o credenciales débiles. Una vez adentro, inyectan el redirect y, casi siempre, dejan backdoors para poder volver aunque vos los limpies. Ese detalle, los backdoors, es el que hace que mucha gente limpie el sitio y lo vea infectado de nuevo a los tres días. Lo explicamos a fondo en nuestra comparativa de plugins de seguridad.
Señales claras de que tu WordPress tiene redirect hack
La prueba más directa: abrí tu sitio en modo incógnito desde un teléfono con datos móviles (no WiFi de tu casa) y llegá haciendo clic desde un resultado de Google. Si te redirige a una farmacia, el problema está confirmado. Si vas directo a la URL, el cloaking puede no activarse.
- Alertas en Google Search Console: el panel de Seguridad muestra «Este sitio puede estar comprometido» o detecta URLs indexadas que no reconocés como propias.
- Páginas raras en Google: buscá
site:tudominio.com viagraosite:tudominio.com cialis. Si aparecen resultados, el ataque lleva semanas. - Usuarios admin desconocidos: revisá el listado de Usuarios en WordPress. Si hay cuentas que no creaste, las creó el atacante para mantener acceso.
- Archivos .php en /wp-content/uploads/: esa carpeta debería tener solo imágenes y multimedia. Un .php ahí es malware casi con certeza.
- Advertencias en Chrome o Firefox: el navegador muestra «El sitio puede ser peligroso». Google Safe Browsing ya lo marcó como comprometido.
- Caída de tráfico orgánico repentina: si el tráfico cayó 40-60% sin causa aparente, Google pudo haber desindexado o penalizado el dominio.
Muchos hosting mandan alertas automáticas cuando detectan malware. Si recibiste un mail de tu proveedor sobre «actividad sospechosa» o «archivos maliciosos», no lo ignorés.
¿En qué archivos se esconde el malware pharma?
Ponele que ya sabés que el sitio está infectado. El siguiente problema es encontrar dónde está el código malicioso, porque suele estar en varios lugares a la vez (y los atacantes son bastante creativos para ocultarlo).
- .htaccess: el blanco favorito. El malware agrega reglas de rewrite que redirigen tráfico según user-agent o referrer. Buscá bloques de código fuera de lo habitual, con caracteres raros o strings muy largas.
- wp-config.php: suelen agregar código al inicio o al final del archivo, a veces ofuscado con base64.
- footer.php y header.php del tema activo: inyecciones de código que se cargan en todas las páginas del sitio.
- functions.php: fácil para agregar funciones maliciosas que se ejecutan con cada carga de página.
- Archivos index.php: tanto el de la raíz como los de subcarpetas del WordPress.
- Archivos de plugins: especialmente en plugins desactualizados o sin mantenimiento activo.
- /wp-content/uploads/: archivos .php que no deberían estar ahí bajo ninguna circunstancia.
Cuando revisás estos archivos, buscá estos patrones: eval(, base64_decode(, preg_replace( con modificadores de ejecución, exec(, system( o strings de texto muy largas y ofuscadas. También buscá funciones cargadas con add_action que tienen nombres genéricos como «wp_update_check» o «system_init».
Si tenés acceso SSH, este comando te muestra archivos PHP modificados en los últimos 15 días: find /ruta/a/wordpress -name "*.php" -mtime -15 -type f. Los archivos de core de WordPress no deberían cambiar solos. Más contexto en alternativas a Wordfence que deberías conocer.
Pasos para escanear y detectar código malicioso
Antes de limpiar nada, necesitás saber qué tan profundo llegó el malware. Tres formas de hacerlo.
Escáner externo: Sucuri SiteCheck
Entrá a sitecheck.sucuri.net y pegá tu URL. Te da un diagnóstico externo en menos de un minuto: si hay código malicioso en el HTML público, si el dominio está en listas negras (Google Safe Browsing, McAfee, Norton) y si tiene redirecciones sospechosas. Es gratuito y no requiere instalar nada. Solo ve lo que un visitante ve, no el código del servidor, así que es el punto de partida, no el único análisis.
Escáner de plugin: Wordfence
Con Wordfence instalado, andá a Wordfence → Escanear y corrés un Full Scan. La versión gratuita compara tus archivos de core de WordPress contra el repositorio oficial y detecta modificaciones. Según la documentación oficial de Wordfence, el proceso identifica archivos modificados, código sospechoso y usuarios con privilegios inesperados. La versión Premium agrega detección de malware en tiempo real con firmas actualizadas.
Operador site: en Google
Buscá site:tudominio.com en Google y revisá qué páginas están indexadas. Si aparecen títulos sobre Viagra, Cialis o nombres de medicamentos que nunca creaste, el ataque lleva semanas o meses. El daño SEO ya está hecho y vas a necesitar el proceso completo de delisting después de limpiar.
Cómo limpiar un WordPress infectado por pharma hack (proceso completo)
Este es el proceso para eliminar redirect hack pharma de WordPress. No hay atajos: si saltás pasos, el sitio se reinfecta en días.
- Paso 1: Backup completo antes de tocar nada. Descargá todos los archivos vía FTP y exportá la base de datos. Incluso un backup infectado sirve para comparar qué cambió respecto a versiones anteriores limpias.
- Paso 2: Cambiá todas las contraseñas. La del admin de WordPress, la del hosting, la de FTP, la de la base de datos. Si el atacante tiene acceso a cualquiera de estas, vuelve aunque limpies todo.
- Paso 3: Eliminá usuarios admin desconocidos. Antes de limpiar archivos, sacá las cuentas que no reconocés. Son puertas de acceso que el atacante usa para volver.
- Paso 4: Escaneá con Wordfence o MalCare y revisá los resultados. Identificá cada archivo marcado como modificado o sospechoso.
- Paso 5: Limpiá archivos de core de WordPress. Descargá una copia limpia de wordpress.org y reemplazá los archivos de wp-admin/ y wp-includes/ uno a uno. Es la forma más segura de garantizar que el core está limpio.
- Paso 6: Limpiá el .htaccess. Borralo y regeneralo desde WordPress → Ajustes → Enlaces permanentes (guardá sin cambios, WordPress lo crea de nuevo limpio). Verificá que el archivo nuevo no tenga código fuera del estándar.
- Paso 7: Revisá la base de datos. El malware a veces inyecta código en wp_options (campos siteurl, home, o en opciones de plugins) o en el contenido de posts. Buscá «eval», «base64» o URLs de farmacias directamente en la base de datos.
- Paso 8: Escaneá de nuevo. Corrés el escáner otra vez para confirmar que no quedaron rastros. Si detecta algo más, repetís el proceso en esas rutas.
- Paso 9: Actualizá absolutamente todo. WordPress core, plugins, temas. El vector de entrada fue casi siempre algo desactualizado con una vulnerabilidad conocida.
¿Por qué no podés simplemente desactivar los plugins? Porque el malware ya está escrito en los archivos del servidor. Desactivar un plugin desde el panel de WordPress no borra el código que el atacante inyectó en otros archivos. La limpieza tiene que ser a nivel de archivos, no de configuración. Tema relacionado: plugins con firewall avanzado para tu sitio.
Herramientas de seguridad: Wordfence vs Sucuri vs MalCare
Tres opciones dominan el mercado para este tipo de limpieza, cada una con un enfoque distinto.
| Herramienta | Tipo | Detección | Limpieza automática | Precio aprox. (USD/año) | Mejor para |
|---|---|---|---|---|---|
| Wordfence | Plugin instalado | Alta (firmas + heurística) | No (proceso manual) | Gratis / desde 119 premium | Monitoreo continuo y prevención |
| Sucuri | Plugin + CDN externo | Alta (externa + interna) | Manual con soporte | Desde 199 | Protección CDN + soporte de limpieza incluido |
| MalCare | Plugin instalado | Alta | Sí, con un clic | Desde 99 | Limpiar rápido sin tocar código manualmente |
Si el sitio ya está infectado y no querés meterte con archivos PHP a mano, MalCare es la opción más directa. Wordfence tiene más control y transparencia para quien quiere monitoreo a largo plazo. Sucuri es la más cara, pero incluye CDN con firewall de aplicación web, lo que reduce el riesgo de reinfección por ataques de red.
Para quien tiene WordPress en un servidor compartido de donweb.com u otro proveedor, Wordfence gratuito alcanza para el monitoreo básico. Si el sitio ya está comprometido, ahí vale la pena evaluar MalCare o el servicio de limpieza de Sucuri según el tiempo que tengás disponible.
Cómo solicitar delisting a Google después de limpiar
Limpiaste el sitio. Ahora viene el paso que mucha gente omite: decirle a Google que ya está limpio, porque Google no lo sabe automáticamente.
- Google Search Console → Seguridad y acciones manuales → Problemas de seguridad. Si Google detectó malware, vas a ver la alerta ahí. Verificá que el sitio esté 100% limpio antes de hacer clic en «Solicitar revisión». Una solicitud rechazada extiende el período de espera.
- Google Safe Browsing: si tu dominio aparece marcado en Chrome como sitio peligroso, el proceso de revisión en GSC cubre también Safe Browsing. No hay solicitud separada para esto.
- McAfee SiteAdvisor: si el dominio fue marcado por McAfee, el delisting es independiente. Buscá «McAfee Site Lookup» y seguí el proceso de disputa.
La revisión de Google tarda entre 3 y 14 días desde que mandás la solicitud. Subís el escaneo limpio, mandás la revisión, esperás, el tráfico puede seguir bajo ese período entero porque Google recrawlea y recalcula rankings por separado de la remoción de la advertencia de malware, y todo eso junto hace que la recuperación completa tome entre 2 y 6 semanas dependiendo del tiempo que el sitio estuvo comprometido.
Para entender mejor cómo actúan, podés leer nuestro artículo sobre redirect hacks WordPress.
Errores comunes al limpiar un WordPress hackeado
- Limpiar archivos sin cambiar contraseñas primero. El atacante vuelve en horas si la credencial comprometida sigue activa. Cambiar contraseñas es el paso 1, no el paso 6.
- No buscar backdoors en la base de datos. La mayoría de las infecciones dejan puertas traseras también en wp_options o en el código de usuarios. Limpiar solo archivos alcanza para el 60% del problema, no para el 100%.
- Solicitar revisión a Google antes de terminar de limpiar. Cada solicitud rechazada extiende el período de espera. No mandés la revisión hasta tener dos escaneos limpios consecutivos.
- Restaurar backup sin investigar el vector de entrada. Si restaurás el backup y el plugin vulnerable sigue instalado, el sitio vuelve a infectarse en días. El problema no era el contenido, era la puerta abierta.
- Creer que el problema ya pasó porque «no se ve nada raro.» El cloaking hace que vos nunca lo veas logueado. La prueba real es el escaneo y la vista en incógnito desde otro dispositivo.
Preguntas Frecuentes
¿Por qué yo no veo las redirecciones pero mis visitantes sí?
El malware usa cloaking: detecta si el usuario tiene sesión activa en WordPress y si el request viene de un user-agent conocido. Siendo admin logueado, el sitio se muestra normal. Para verlo vos mismo, abrí el sitio en modo incógnito desde un dispositivo diferente, llegando desde un resultado de Google real y no yendo directo a la URL. Esa es la única prueba que replica exactamente lo que ven tus visitantes. En herramientas especializadas en detección de ataques profundizamos sobre esto.
¿Cuánto tarda limpiar un WordPress con pharma hack?
Entre 1 y 4 horas dependiendo de cuánto se extendió el malware. Si está solo en archivos de core y .htaccess, puede ser rápido. Si llegó a la base de datos y a múltiples temas y plugins, el proceso es más largo. Herramientas como MalCare reducen ese tiempo porque automatizan la detección y la limpieza sin tener que revisar archivo por archivo.
¿Wordfence gratuito alcanza para eliminar el redirect hack?
Para detectar archivos modificados y malware conocido, sí. Para la limpieza automática, la versión gratuita te muestra qué archivos están comprometidos, pero el proceso de limpieza lo hacés vos manualmente. Wordfence documenta el proceso paso a paso para guiarte. Si la infección es grave o no querés meterte con archivos PHP, MalCare o el servicio de limpieza de Sucuri son opciones más directas.
¿Cómo evito que el pharma hack vuelva a infectar mi WordPress?
Cuatro medidas concretas: actualizá WordPress, plugins y temas sin excepción (la mayoría de infecciones entran por vulnerabilidades con parche disponible que nadie aplicó). Usá contraseñas únicas y fuertes para cada cuenta de admin. Instalá un plugin de seguridad con firewall activo, como Wordfence. Y configurá autenticación de dos factores para las cuentas con privilegios de administrador.
¿Google penaliza el dominio de forma permanente por el pharma hack?
No es permanente. Después de limpiar el sitio y solicitar revisión en Google Search Console, la advertencia se remueve generalmente en 3 a 14 días. El tráfico orgánico puede tardar semanas más en recuperarse porque Google necesita recrawlear las páginas y recalcular los rankings. Los dominios con historial largo y buena reputación previa tienen mejor recuperación que dominios nuevos.
Conclusión
El pharma hack es uno de los ataques más silenciosos que existen. Puede llevar meses antes de que te enterés, y para entonces el daño a tu reputación en Google ya está hecho. La buena noticia es que tiene una firma reconocible y un proceso de limpieza bien documentado.
Lo que marca la diferencia entre un sitio que se recupera y uno que se reinfecta cada semana es la completitud de la limpieza. Alguien que borra el .htaccess y da el tema por cerrado vuelve a infectarse en días. El proceso tiene que cubrir archivos, base de datos, contraseñas, usuarios admin y el vector de entrada original, en ese orden.
Para usar Wordfence y eliminar redirect hack de forma efectiva: escaneás primero para entender el alcance, limpias en orden (contraseñas y usuarios antes que archivos, archivos antes que base de datos), actualizás todo lo que quedó desactualizado, y pedís revisión a Google solo cuando tenés dos escaneos limpios consecutivos. Con ese proceso, la recuperación completa toma entre 2 y 6 semanas.
Fuentes
- Wordfence – Cómo limpiar un sitio WordPress hackeado usando Wordfence (guía oficial)
- Sucuri Blog – Encontrar y solucionar el WordPress Pharma Hack
- MalCure – Qué es el WordPress Pharma Hack y cómo solucionarlo
- SeguridadenWordPress – WordPress que redirige spam: Redirect Hack
- FatLab Web Support – WordPress Pharma Hack: detección y limpieza