WordPress hackeado: detectarlo, limpiarlo y cerrar la puerta

El procedimiento completo ante un hackeo: confirmar y contener, las tres vías de limpieza, cerrar la puerta de entrada y la reapertura vigilada.

SF SeoFune · 4 de junio de 2026 · 4 min de lectura

Redirecciones raras, spam farmacéutico en tus resultados de Google, avisos del navegador, archivos que no reconoces: tu WordPress está hackeado y el pánico es mal cirujano: la limpieza es un procedimiento conocido y ejecutable: paso a paso, de la detección a la reapertura, y cómo cerrar la puerta por la que entraron.

Confirmar y contener (las primeras horas)

Confirma los síntomas: busca site:tudominio.com en Google (el spam inyectado aparece ahí aunque tu web se vea normal), revisa Search Console (problemas de seguridad y acciones manuales) y pasa un escaneo externo más el del plugin de seguridad. Contén: cambia TODAS las claves (WordPress, hosting, base de datos, FTP), revisa los usuarios administradores (los intrusos se crean cuentas) y, si el destrozo es activo, modo mantenimiento mientras operas: y haz una copia del estado infectado: parece absurdo y es oro: evidencia para el análisis y red por si la limpieza rompe algo.

Limpiar (las tres vías)

  • Restaurar copia limpia (la vía rápida): si tienes copia anterior a la infección con fecha clara: restaurar, actualizar todo inmediatamente y cambiar claves de nuevo: la vía de quien tenía el sistema de copias hecho.
  • Limpieza con herramienta (la vía estándar): el escáner del plugin serio localiza archivos infectados y modificados: se limpian o reemplazan: el núcleo y los plugins se reinstalan desde origen (sus archivos son reemplazables al 100%): lo artesanal es revisar uploads (PHP donde solo debe haber medios), el tema activo y wp-config.
  • Limpieza profesional (la vía sensata cuando excede): los servicios especializados y algunos hostings limpian por tarifa plana: si la web factura, el orgullo técnico es mal consejero: se contrata y a otra cosa.

Cerrar la puerta y reabrir

La limpieza sin diagnóstico es pausa, no cura: identifica la entrada (el plugin desactualizado con vulnerabilidad conocida es el sospechoso número uno: las claves débiles, el segundo) y ciérrala: todo actualizado, lo abandonado reemplazado, el checklist de seguridad aplicado entero. Después, la reapertura pública: solicita revisión en Search Console si hubo aviso (con la web ya limpia: las revisiones rechazadas alargan la cuarentena), pide la retirada de listas negras donde aparezca el dominio y vigila las semanas siguientes con el escaneo en frecuencia alta: las reinfecciones por puerta mal cerrada son el clásico del mes siguiente.

Preguntas frecuentes

¿El hackeo destruye mi SEO?
El daño es proporcional al tiempo infectado: el spam indexado y las acciones manuales hunden temporalmente, y la recuperación tras limpiar y revisar es la norma: las posiciones vuelven en semanas: la detección rápida es la mitad del SEO en esta historia.
¿Cómo sé qué copia es anterior a la infección?
Cruza pistas: fechas de modificación de los archivos infectados, primeros síntomas en Search Console y los registros del servidor si los hay: ante la duda, restaura la más antigua razonable y actualiza contenido desde la reciente: por esto la retención de varias generaciones no es paranoia.
¿Borro todo y empiezo de cero mejor?
Casi nunca compensa: el contenido y las señales SEO valen más que la molestia de limpiar: la reinstalación total tiene sentido en webs triviales o destrozos extremos: y aun entonces, la base de datos limpia se conserva: lo reemplazable son los archivos.

Por dónde seguir

La prevención que evita repetir esta pieza: el checklist de seguridad y el login blindado: y la red que hace trivial la vía rápida, en copias de seguridad.