Cómo saber si tu WordPress fue hackeado (y qué hacer)
Un día entras a tu página web y algo no cuadra: redirige a un sitio extraño, aparecen ventanas de publicidad que tú no pusiste, o Google muestra un cartel rojo de «sitio peligroso». Es uno de los sustos más grandes para cualquier negocio. La buena noticia es que casi siempre tiene solución — y mientras más rápido actúes, mejor.
En esta guía te explico, sin tecnicismos, cómo reconocer si tu WordPress fue hackeado, qué hacer de inmediato y cómo evitar que vuelva a pasar.
Señales de que tu WordPress está hackeado
No siempre es evidente. Estas son las señales más comunes:
- Redirecciones extrañas: tu web manda a los visitantes a otra página (a menudo de publicidad, apuestas o productos raros).
- Ventanas y anuncios que tú no pusiste apareciendo sobre tu contenido.
- Google te marca: sale el aviso «Este sitio puede dañar tu computadora» o desaparece de los resultados de búsqueda.
- Tu sitio va lentísimo o se cae sin razón: alguien puede estar usando tu servidor para enviar spam.
- No puedes entrar al panel de administración, o aparecen usuarios administradores que tú no creaste.
- Archivos o páginas nuevas que no reconoces, muchas veces con nombres raros.
- Tus clientes te avisan de que recibieron correos raros «de tu parte».
Qué hacer si crees que te hackearon
Lo primero: no entres en pánico y no borres todo de golpe. Sigue estos pasos:
- No toques nada a ciegas. Borrar archivos al azar puede empeorar las cosas o eliminar la evidencia de por dónde entraron.
- Cambia las contraseñas importantes: la de administrador de WordPress, la del hospedaje y la de la base de datos.
- Haz un respaldo del estado actual (aunque esté infectado) antes de tocar nada, por si acaso.
- Pon el sitio en modo mantenimiento si puedes, para que los visitantes no se contagien mientras lo arreglas.
- Escanea y limpia: hay que encontrar el código malicioso (lo que se conoce como malware), eliminarlo, reinstalar los archivos limpios de WordPress y cerrar la puerta por donde entraron.
Si nada de esto te resulta familiar, este es el momento de pedir ayuda. Limpiar un sitio hackeado a fondo requiere saber dónde buscar; hacerlo a medias hace que el problema vuelva. Nosotros ofrecemos un servicio de rescate de sitios hackeados que lo deja limpio, seguro y de nuevo en línea.
Cómo evitar que vuelva a pasar
La mayoría de los hackeos no son ataques dirigidos: son robots que buscan sitios desactualizados y desprotegidos. Protegerte es más fácil de lo que crees:
- Mantén todo actualizado: WordPress, plantilla y plugins. Las versiones viejas son la puerta de entrada #1.
- Contraseñas fuertes y distintas para cada acceso (nada de «admin123»).
- Instala solo plugins de confianza y elimina los que no uses.
- Respaldos automáticos para poder restaurar rápido si algo pasa.
- Un firewall —un escudo de seguridad que bloquea los ataques antes de que lleguen a tu web—.
- Mantenimiento continuo: es como el aceite del carro — barato comparado con reparar el motor.
Justamente para eso existe nuestro servicio de mantenimiento: actualizaciones, respaldos y seguridad continua para que no tengas que preocuparte.
Preguntas frecuentes
¿Google puede penalizar mi sitio si lo hackean?
Sí. Google puede marcar tu sitio como peligroso y sacarlo de los resultados de búsqueda para proteger a los usuarios. Por eso es urgente limpiarlo rápido: mientras más tiempo pase infectado, más daño hace a tu reputación y a tu posicionamiento.
¿Puedo limpiar el sitio yo mismo?
Si tienes conocimientos técnicos, es posible. Pero el código malicioso suele esconderse en varios archivos y en la base de datos (donde tu web guarda su información), y si dejas una sola puerta abierta, vuelve a los pocos días. Si no estás seguro, es más rápido y seguro que lo haga alguien con experiencia.
¿Cuánto tarda limpiar un sitio hackeado?
Depende de qué tan extendida esté la infección, pero un rescate profesional suele resolverse en cuestión de horas a un par de días. Lo importante es actuar rápido y cerrar bien la entrada para que no reincida.
En resumen
Si tu WordPress redirige a sitios raros, va lento, Google lo marca o aparecen usuarios y archivos que no reconoces, es muy probable que esté hackeado. Actúa rápido: cambia contraseñas, respalda, y limpia a fondo — o pide ayuda para hacerlo bien a la primera. Y después, mantenlo protegido para dormir tranquilo.
¿Crees que tu sitio pudo ser hackeado, o quieres blindarlo antes de que pase? Escríbeme por WhatsApp y lo revisamos juntos.