• Por Globetec Technology Group
  • 26 Feb, 2026
  • WordPress

¡Mi WordPress Fue Hackeado! Qué Hacer Ahora Mismo (Guía de Emergencia 2026)

Abres tu web y ves algo que no debería estar ahí: publicidad en otro idioma, un mensaje de "This site has been hacked", una pantalla en blanco, o Google te avisa que tu sitio contiene malware. El pánico es inmediato y comprensible. WordPress fue hackeado y no sabes qué hacer. Respira. Con los pasos correctos, la situación tiene solución.

WordPress impulsa el 43% de todos los sitios web del mundo, lo que lo convierte en el objetivo número uno de los hackers. No porque sea inseguro por diseño, sino porque hay millones de instalaciones desactualizadas, con plugins vulnerables y contraseñas débiles. En esta guía de emergencia te decimos exactamente qué hacer paso a paso.

Cómo Saber si Tu WordPress Fue Hackeado

No siempre es obvio. Algunos hackeos son silenciosos y están diseñados para que no los notes mientras usan tu sitio para enviar spam, robar datos o minar criptomonedas. Las señales más comunes son:

  • Tu web muestra contenido extraño, en otro idioma o links a sitios desconocidos
  • Google Chrome muestra una advertencia de "Sitio peligroso" antes de entrar
  • Tu hosting suspendió tu cuenta por actividad sospechosa
  • Recibes emails de clientes diciendo que tu web no funciona o muestra cosas raras
  • Google Search Console te notifica de malware o contenido hackeado
  • Tu web redirige a los visitantes a otros sitios
  • Aparecen páginas, posts o usuarios administradores que no creaste
  • Tu web está increíblemente lenta sin razón aparente (puede ser minería de criptomonedas)

Pasos de Emergencia: Qué Hacer Cuando Tu WordPress Fue Hackeado

Paso 1: No entres en pánico, actúa con calma

El error más común bajo presión es hacer cambios sin método y empeorar la situación. Sigue estos pasos en orden y documenta todo lo que haces. La información sobre qué pasó te ayudará a entender cómo prevenirlo en el futuro.

Paso 2: Activa el modo de mantenimiento

Lo primero es proteger a tus visitantes y evitar que el hackeo afecte más páginas o usuarios. Si puedes acceder al admin de WordPress, activa el modo de mantenimiento. Si no puedes entrar, contacta a tu hosting para suspender temporalmente el sitio mientras lo limpias.

Paso 3: Cambia TODAS las contraseñas

Cambia inmediatamente: contraseña de WordPress admin, contraseña de la base de datos, contraseña del FTP/SFTP, contraseña del panel de hosting y contraseña del email asociado al dominio. Usa contraseñas largas y únicas para cada una. Activa autenticación de dos factores donde sea posible.

Paso 4: Haz una copia de seguridad del estado actual

Aunque el sitio esté hackeado, guarda una copia del estado actual antes de limpiar. Si algo sale mal durante la limpieza, podrás volver a este punto y buscar ayuda profesional. Haz backup de los archivos del servidor y de la base de datos.

Paso 5: Identifica el malware con un escáner

Herramientas como Wordfence, MalCare o Sucuri pueden escanear tu WordPress en busca de archivos infectados, código malicioso inyectado y backdoors (puertas traseras que el hacker dejó para volver a entrar). El escáner te dirá exactamente qué archivos están comprometidos.

El 60% de los hackeos de WordPress se producen a través de plugins o temas desactualizados. El mantenimiento preventivo (actualizaciones regulares, contraseñas seguras, backups automáticos) cuesta infinitamente menos que recuperarse de un hackeo. La pregunta no es si te van a atacar, sino cuándo.

Paso 6: Limpia los archivos infectados

Esta es la parte técnica más delicada. Opciones:

  • Si tienes un backup limpio reciente: Restaurarlo es la opción más segura y rápida.
  • Si no tienes backup: Reinstalar WordPress desde cero, reinstalar los plugins y el tema desde fuentes oficiales, y restaurar solo el contenido de la base de datos (posts, páginas, usuarios) después de limpiarla.
  • Limpieza manual: Requiere acceso al servidor y conocimiento técnico. Se comparan los archivos del core de WordPress con la versión oficial para identificar modificaciones.

Paso 7: Busca y elimina las backdoors

Los hackers siempre dejan una puerta trasera. Si no la encuentras y eliminas, volverán a entrar aunque limpies todo lo demás. Las backdoors suelen estar escondidas en archivos del tema, en el directorio de uploads o en archivos del core modificados. Busca funciones PHP sospechosas como eval(), base64_decode() o exec() en lugares donde no deberían estar.

Paso 8: Actualiza todo

Una vez limpio el sitio, actualiza: WordPress core a la última versión, todos los plugins a sus versiones más recientes, el tema activo y sus dependencias. Desinstala y elimina completamente (no solo desactivar) los plugins y temas que no uses.

Paso 9: Solicita la revisión a Google

Si Google marcó tu sitio como peligroso, una vez limpio debes solicitar una revisión desde Google Search Console. El proceso suele tardar entre 1 y 3 días. Mientras tanto, la advertencia seguirá apareciendo para los usuarios.

Cómo Prevenir que Tu WordPress Sea Hackeado Nuevamente

  • Backups automáticos diarios: Si algo pasa, restaurar es cuestión de minutos.
  • Actualizaciones automáticas: WordPress, plugins y temas siempre en la última versión.
  • Contraseñas fuertes y únicas: Mínimo 12 caracteres con mayúsculas, números y símbolos.
  • Autenticación de dos factores: Obligatoria para cuentas admin.
  • Firewall de aplicación web (WAF): Cloudflare o Wordfence bloquean ataques antes de que lleguen a tu web.
  • Limitar intentos de login: Bloquear IPs que intentan acceder con múltiples contraseñas.
  • Cambiar la URL de login: /wp-admin es el objetivo de millones de ataques automatizados. Cambiarla reduce dramáticamente el riesgo.
  • Hosting seguro: Con aislamiento entre cuentas, malware scanning y soporte técnico proactivo.

¿Cuándo Llamar a un Experto?

Siempre que sea posible, la limpieza de un hackeo debe hacerla alguien con experiencia técnica. Los errores durante la limpieza pueden:

  • Destruir datos permanentemente
  • Dejar backdoors activas que no detectaste
  • Corromper la base de datos
  • Hacer que el sitio quede inaccesible

Si no tienes experiencia técnica con WordPress, contacta a un especialista de inmediato. El costo de la limpieza profesional es siempre menor al costo de perder datos, reputación y clientes.

Conclusión

Un WordPress hackeado es una crisis, pero con los pasos correctos y la ayuda adecuada, tiene solución. Lo más importante: no esperes a que te hackeen para preocuparte por la seguridad. El mantenimiento preventivo es siempre la mejor inversión.

En Globetec Technology Group ofrecemos servicios de limpieza de malware en WordPress, recuperación de sitios hackeados y planes de mantenimiento preventivo que mantienen tu web segura 24/7. Contáctanos ahora mismo para una respuesta de emergencia o para proteger tu sitio antes de que sea demasiado tarde.