Seguridad Web , Soporte y Ayuda , WordPress

Mi WordPress ha sido hackeado: qué hacer paso a paso (guía 2026)

Descubrir que tu WordPress ha sido comprometido es una de las situaciones más estresantes que puede vivir alguien con un proyecto online. La web puede mostrar contenido extraño, redirigir a otras páginas, generar errores o directamente no cargar. La reacción habitual es el pánico, pero lo que necesitas es un plan de acción claro.

Esta guía explica exactamente qué hacer si sospechas que tu WordPress ha sido hackeado, en qué orden actuar y cómo evitar que vuelva a ocurrir.

Cómo saber si tu WordPress ha sido comprometido

Antes de actuar, confirma que realmente hay un problema de seguridad y no otro tipo de fallo. Las señales más habituales de un hack son:

  • Redirecciones no autorizadas: Tu web lleva a los visitantes a páginas de spam o phishing
  • Contenido extraño: Aparecen páginas, posts o usuarios que no has creado tú
  • Alertas del navegador: Chrome o Firefox muestran «Este sitio puede dañar tu ordenador»
  • Google Search Console marca el sitio como peligroso o muestra URLs que no reconoces
  • El antivirus del hosting ha bloqueado archivos o detectado malware
  • El hosting ha suspendido tu cuenta por actividad maliciosa

Si ves alguna de estas señales, actúa cuanto antes. Cada hora que pasa puede implicar más daño a tu reputación y a tu posicionamiento en buscadores.

Paso 1: Cambia todas las contraseñas inmediatamente

Antes de hacer nada más, cambia:

  1. La contraseña de administrador de WordPress
  2. Todas las contraseñas de usuario de WordPress con roles de Editor o superior
  3. La contraseña de FTP
  4. La contraseña de la base de datos
  5. La contraseña de acceso a cPanel

Usa contraseñas largas y aleatorias (mínimo 16 caracteres, combinando letras, números y símbolos). No uses variaciones de contraseñas antiguas.

Paso 2: Activa el modo mantenimiento

Si tu web está mostrando contenido malicioso a los visitantes, actívala en modo mantenimiento para evitar que el problema afecte a más usuarios mientras lo resuelves. Puedes hacerlo desde plugins de WordPress o directamente añadiendo un archivo .htaccess temporal que redirija a una página de mantenimiento.

Paso 3: Restaura desde una copia de seguridad limpia

Si tienes copias de seguridad automáticas (como las que incluye BlumHost en todos sus servicios), esta es la opción más rápida y fiable: restaurar la web a un punto anterior al hackeo.

Para identificar cuándo ocurrió el compromiso, revisa los logs de acceso del servidor en cPanel o pide a tu proveedor que te ayude a identificar la fecha aproximada.

Si tu hosting es de BlumHost, puedes restaurar copias desde cPanel con JetBackup. Aquí tienes la guía: JetBackup: Cómo Restaurar Archivos en cPanel.

Importante: Restaurar la copia no elimina la vulnerabilidad que permitió el acceso. Después de restaurar, debes hacer la revisión de seguridad del paso 4.

Paso 4: Escanea y limpia el malware

Si no puedes restaurar desde backup o quieres hacer una limpieza más completa, usa estas herramientas:

Wordfence Security (plugin)

Wordfence es el plugin de seguridad más utilizado para WordPress. Su escáner gratuito detecta archivos modificados, malware conocido y cambios sospechosos comparando tu instalación con la original de WordPress.org.

Instálalo, ejecuta el escáner completo y sigue las recomendaciones que te dé.

Desde el servidor (sin plugin)

Si no puedes acceder al panel de WordPress, puedes escanear desde el servidor con herramientas como grep para buscar patrones de malware comunes en los archivos PHP:

bash

grep -r "eval(base64_decode" /home/usuario/public_html/
grep -r "<?php \$" /home/usuario/public_html/wp-content/

Cualquier resultado sospechoso merece revisión manual.

Paso 5: Revisa usuarios administradores y accesos

Los hackers frecuentemente crean usuarios administradores para mantener acceso incluso después de que limpies el malware. Ve a WordPress → Usuarios y revisa que solo existan los usuarios que reconoces.

También revisa los archivos de log de acceso (en cPanel → Logs) para identificar qué IPs y qué rutas fueron utilizadas durante el ataque.

Paso 6: Actualiza todo

Una vez limpia la instalación:

  • Actualiza WordPress a la última versión
  • Actualiza todos los plugins a sus versiones más recientes
  • Actualiza todos los temas (incluido el tema activo)
  • Elimina plugins y temas que no uses (aunque estén desactivados)

La mayoría de hackeos de WordPress se producen por vulnerabilidades en plugins o temas desactualizados. Mantenerlos al día es la primera línea de defensa.

Paso 7: Implementa medidas de protección

Con la instalación limpia y actualizada, aplica estas medidas preventivas:

Autenticación en dos factores

Activa 2FA para todas las cuentas de administrador. Plugins como Wordfence, WP 2FA o Google Authenticator lo permiten en pocos minutos.

Limita los intentos de login

Los ataques de fuerza bruta contra el login de WordPress son continuos. Plugins como Limit Login Attempts Reloaded o el mismo Wordfence pueden bloquear IPs después de un número de intentos fallidos.

Cambia la URL de login

Por defecto WordPress usa /wp-admin y /wp-login.php. Cambiar esta URL dificulta enormemente los ataques automatizados.

Configura el SSL correctamente

Asegúrate de que tu sitio usa HTTPS en todas las páginas y que el certificado SSL está activo y actualizado.

Para más información sobre SSL, consulta: Certificado SSL gratuito: qué es, tipos y cómo instalarlo en cPanel.

Cómo evitar futuros hackeos

La clave para no repetir la experiencia es adoptar hábitos de mantenimiento regulares:

  • Actualiza siempre WordPress, plugins y temas en cuanto haya nuevas versiones
  • Revisa los plugins que instalas: Solo instala de fuentes confiables (WordPress.org o desarrolladores reconocidos). Los plugins nulled (versiones piratas de plugins premium) son una de las fuentes más habituales de malware
  • Usa contraseñas únicas y fuertes para cada cuenta de WordPress
  • Revisa los usuarios periódicamente: Borra cuentas que no uses
  • Monitoriza con alertas: Herramientas como Wordfence pueden enviarte alertas por email si detectan actividad sospechosa

Qué hacer si no puedes limpiar la instalación tú solo

Si el hack es complejo o no tienes los conocimientos técnicos para abordarlo, las opciones son:

  1. Contactar con tu proveedor de hosting: En BlumHost tienes soporte técnico 24/7 que puede ayudarte a identificar el origen del problema
  2. Contratar un servicio especializado en limpieza de WordPress (Sucuri, Malcare o equipos freelance especializados)
  3. Restaurar desde backup y empezar con una instalación limpia, añadiendo el contenido de forma gradual

Si tu hosting no te ofrece soporte real ante este tipo de situaciones, es un buen momento para plantearte el cambio. En BlumHost el soporte está disponible 24/7 y las copias de seguridad en segunda ubicación están incluidas en todos los planes gratuitamente.

Conclusión

Un WordPress hackeado es un problema serio pero resoluble. La clave está en actuar rápido, en este orden: cambiar contraseñas, restaurar desde backup si es posible, limpiar el malware, actualizar todo y aplicar medidas preventivas.

A largo plazo, la mejor protección es el mantenimiento regular: actualizaciones al día, contraseñas fuertes y un hosting con backups automáticos que te permita restaurar si algo sale mal.

Si quieres un hosting que incluya copias de seguridad diarias en segunda ubicación y soporte técnico real, puedes consultar los planes hosting wordpress de BlumHost.

Miguel Taboada

Ingeniero en Telecomunicaciones e Informática. Creé BlumHost para ofrecer un hosting distinto a los demás, que ofrezca la mejor atención al cliente, al menor precio y con la mejor calidad.

Ver todas las entradas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *