Si acabas de descubrir redirecciones raras, avisos de malware o un desplome repentino en tu web, necesitas un plan corto y útil para desinfectar WordPress hackeado sin tocar cosas a ciegas. Primero hay que cortar el daño, recuperar el acceso y limpiar la instalación. Después toca cerrar el agujero para que no vuelva a pasar.
Sabemos que asusta. Sobre todo si no tienes experiencia en estos casos, pero que te hayan hackeado WordPress no significa es el final. Es un fastidio, sí, pero tiene solución y en este post te vamos a indicar los pasos para que puedas recuperar tu web cuanto antes después de sufrir un hackeo.
Tabla de Contenidos:
- Acciones inmediatas para frenar el ataque
- ¿Han hackeado tu WordPress?
- Qué hacer si no puedes entrar a tu WordPress
- Guía para limpiar tu WordPress paso a paso
- Saca tu web de la lista negra de Google
- Recuperación SEO post hackeo
- Cómo evitar futuros hackeos en tu servidor
- Conclusión
- Preguntas frecuentes sobre desinfectar WordPress hackeado (FAQ)
Acciones inmediatas para frenar el ataque
Lo primero no es “investigar con calma”. Lo primero es parar el golpe.
Haz esto nada más detectar el problema:
- Pon la web en mantenimiento o publica una página temporal limpia si la web está redirigiendo, mostrando spam o descargando archivos raros.
- No sigas navegando por el panel como si nada. Cada minuto con la web infectada puede empeorar el daño, el spam y la pérdida de confianza.
- Haz una foto del estado actual con capturas, URLs afectadas y fecha. Luego te servirá para revisar qué se ha roto y qué ha desaparecido.
- Comprueba tus copias de seguridad. En el hosting WordPress de Loading se incluyen copias de seguridad, así que puedes volver a un punto anterior si necesitas salvar el apuro.
Esa restauración puede devolverte la web online más rápido, pero no arregla la causa del hackeo.
Si el problema venía de un plugin vulnerable, una contraseña robada o un tema pirateado, la infección puede volver en cuanto repitas el mismo escenario.
Mientras frenas el daño, intenta no hacer estas dos cosas:
- No borres archivos al azar solo porque “suenan raros”. Puedes romper la web y dejar dentro la puerta de entrada real.
- No actualices todo sin copia previa. A veces ayuda, pero otras veces pisa pruebas útiles o deja la instalación a medias.
Pon la web en mantenimiento o deja una página limpia temporal. Evita que el visitante siga chocando con redirecciones, spam o descargas raras.
Capturas, URLs afectadas, fecha y avisos del navegador. Luego ayudan a medir alcance y a comparar si la infección reaparece.
Una copia buena te puede sacar del apuro rápido, pero no sustituye la revisión posterior de plugins, credenciales y puerta de entrada.
Antes de borrar o actualizar cosas, para y ordena el frente. Un paso precipitado puede romper la web y ocultar la causa real.
No borres archivos por intuición. Puedes dejar dentro la puerta de entrada y romper partes sanas del sitio.
No actualices todo sin copia previa. A veces arregla, pero otras pisa pistas útiles y deja la instalación a medias.
¿Han hackeado tu WordPress?
Test visual rápido. Hazlo y saca las conclusione.
WordPress redirige a otra página
Visitas tu web y apareces en otro dominio que tú no has configurado.
Aviso de sitio peligroso en el navegador
Chrome, Edge o tu antivirus muestran un aviso de phishing, malware o sitio engañoso.
Aparecen administradores que no has creado
En Usuarios de WordPress ves cuentas con rol Administrador que no reconoces.
Google muestra páginas de spam o texto en japonés
Al buscar tu dominio aparecen páginas de farmacia, apuestas o contenido que no has publicado.
Aviso de archivos modificados o código sospechoso
Tu hosting, Search Console o un plugin de seguridad alerta sobre cambios inesperados en archivos.
Qué hacer si no puedes entrar a tu WordPress
Cuando el acceso falla, lo más rápido suele ser desactivar lo que está rompiendo el login o resetear la contraseña desde la base de datos.
Empieza por la vía más simple en Plesk.
Desactiva plugins renombrando la carpeta en Plesk
- Entra en Plesk.
- Abre Administrador de archivos.
- Ve a
httpdocs/wp-content/. - Renombra la carpeta
pluginsaplugins-off.
Con eso, WordPress dejará de cargar los plugins y muchas veces te devolverá el acceso al /wp-admin/.
Si recuperas la entrada, no reactives todo de golpe.
Vuelve a dejar la carpeta con su nombre original y activa uno por uno solo cuando hayas limpiado la instalación.
Cambia la contraseña desde phpMyAdmin
Si el problema no son los plugins, resetea el acceso así:
- En Plesk, abre phpMyAdmin.
- Entra en la base de datos que usa tu WordPress. Si no la recuerdas, revisa
wp-config.phpen el Administrador de archivos. - Busca la tabla de usuarios. No siempre es
wp_users. Si tu prefijo es distinto, será algo comoabc_users. - Edita tu usuario administrador.
- En el campo
user_pass, escribe una contraseña nueva y en la función elige MD5. - Guarda los cambios e intenta entrar de nuevo.
Si tampoco puedes entrar así, revisa si el hacker ha cambiado tu correo de administrador o ha creado un usuario nuevo con permisos altos. Si tienes problemas, la restauración de la web desde una copia de seguridad anterior es, como hemos dicho antes, la solución más rápida, aunque luego tienes que seguir investigando el problema.
- 1Abre el Administrador de archivos
Ve a la carpeta `httpdocs/wp-content/`.
- 2Renombra `plugins`
Cámbiala a `plugins-off` para forzar la desactivación completa.
- 3Prueba `/wp-admin/`
Si entras, ya has aislado una parte importante del problema.
- 4No reactives todo de golpe
Recupera el nombre original solo cuando ya estés en modo limpieza real.
- 1Identifica la base correcta
Si dudas, localiza el nombre en `wp-config.php`.
- 2Busca la tabla de usuarios
Puede ser `wp_users` o un prefijo distinto.
- 3Resetea `user_pass`
Escribe la contraseña nueva y aplica la función `MD5`.
- 4Vigila usuarios extraños
Si aparece un admin que no reconoces, no cierres la revisión ahí.
Estas rutas devuelven acceso. No significan que el WordPress ya esté limpio. Úsalas como punto de entrada, no como final del proceso.
Guía para limpiar tu WordPress paso a paso
Aquí ya no toca improvisar.
La idea es limpiar sin dejar puertas abiertas y sin volver a infectar la web al día siguiente.
Si todavía no tienes un plugin de apoyo claro, aquí tienes una comparativa de plugins de seguridad para WordPress para saber cuál te encaja mejor después de la limpieza. No son
Haz una copia de seguridad del desastre
Antes de borrar nada, guarda una copia del estado actual.
Sí, aunque la web esté infectada.
Te interesa conservarla por tres motivos:
- Si rompes algo, tendrás una referencia para recuperar contenido o configuración.
- Si el malware vuelve, podrás comparar archivos y detectar por dónde ha entrado.
- Si Google o el cliente piden contexto, tendrás pruebas de lo que pasó.
Como mínimo, guarda esto:
- Una copia de los archivos desde el Administrador de archivos de Plesk.
- Una exportación de la base de datos desde phpMyAdmin.
- Las URLs o capturas donde se veía el problema.
Si decides restaurar una copia previa del hosting, úsala como atajo para volver a poner la web en pie, pero luego sigue con la revisión de plugins, usuarios y credenciales.
Cambia todas las contraseñas y las security keys
Si una contraseña o cookie cayó en manos de alguien, limpiar archivos no basta.
Tienes que cerrar todas las sesiones y renovar accesos.
Cambia, como mínimo, estas credenciales:
- Plesk
- FTP o SFTP
- Todos los usuarios de WordPress, sobre todo administradores
- Usuario de la base de datos
Después cambia también las security keys y salts de WordPress en wp-config.php.
Estas claves hacen que las cookies de sesión de WordPress dejen de valer si las regeneras, así que expulsan sesiones abiertas, incluidas las del atacante si seguía dentro.
Puedes generarlas desde la documentación oficial de WordPress sobre security keys y salts.
Una explicación rápida:
- Las keys y salts son cadenas aleatorias que WordPress usa para proteger las sesiones.
- Al cambiarlas, todos los usuarios tendrán que volver a iniciar sesión.
- Eso es justo lo que quieres después de una intrusión.
Escanea y elimina el malware con un plugin
En una limpieza manual es fácil dejar restos. Por eso conviene pasar un escaneo serio con un plugin conocido como Wordfence, incluso en su versión gratuita.
Puedes instalarlo desde su ficha oficial en wordpress.org: Wordfence Security.
Qué hacer con Wordfence:
- Instálalo solo cuando ya tengas acceso mínimo al panel o una copia de trabajo estable.
- Lanza un escaneo completo.
- Revisa avisos sobre archivos core modificados, puertas traseras, redirecciones maliciosas, archivos sospechosos y usuarios extraños.
- No elimines todo en automático sin mirar. Primero confirma qué archivo pertenece a WordPress, a un plugin legítimo o al malware. Hay modificaciones de archivos legítimas que no debes borrar.
Si encuentras archivos sueltos sospechosos, súbelos a VirusTotal para una segunda opinión.
Hazlo solo con archivos concretos y prescindibles, por ejemplo:
- Un
.phpdentro deuploads - Un archivo con nombre raro que acaba de aparecer
- Un script ofuscado dentro de una carpeta que no debería tener PHP
No subas a VirusTotal archivos con secretos, como:
wp-config.php- Copias completas de la base de datos
- Backups que incluyan contraseñas o datos de clientes
Restaurar, escanear o cambiar una contraseña ayuda, pero la limpieza aguanta mejor cuando cierras varios frentes a la vez.
Guarda archivos, base de datos y pruebas antes de tocar nada serio.
- Te sirve para comparar si el malware vuelve.
- Evita perder contenido o ajustes útiles.
Cambia Plesk, FTP, base de datos y usuarios. Luego invalida sesiones con nuevas keys.
- Si había cookies robadas, las expulsas.
- No dejes la misma puerta abierta.
Wordfence ayuda a ver cambios sospechosos. VirusTotal puede apoyar en archivos concretos.
- No elimines todo en automático sin mirar.
- No subas archivos con secretos.
Si el núcleo está tocado, vuelve a subir `wp-admin`, `wp-includes` y archivos raíz sanos.
- No reemplaces `wp-content` entero.
- No pises `wp-config.php`.
- Si WordPress pide actualización de base, hazla al final.
Muchos restos quedan en admins fantasma, opciones raras o PHP colado dentro de `uploads`.
- Revisa tablas de usuarios, metadatos y opciones.
- Si hay PHP en `uploads`, trátalo como sospechoso.
- Borra themes nulled y plugins abandonados.
Reinstala los archivos core de WordPress
Si han tocado el núcleo de WordPress, lo más limpio es reponer los archivos core originales.
La vía sencilla en Plesk es esta:
- Descarga la última versión estable desde WordPress.org.
- En Administrador de archivos de Plesk, entra en la raíz de la web.
- Borra
wp-adminywp-includes. - Sube las carpetas nuevas
wp-adminywp-includes. - Sobrescribe también los archivos de la raíz como
index.php,wp-login.php,wp-settings.phpy similares.
No borres estas dos cosas:
wp-contentwp-config.php
Después entra en /wp-admin/.
Si WordPress pide actualizar la base de datos, hazlo.
Este proceso sigue la lógica del método oficial de actualización manual de WordPress, adaptado a Plesk para hacerlo sin terminal.
Revisa tu base de datos y la carpeta uploads
Aquí suelen quedarse escondidos restos muy molestos.
En la base de datos revisa, como mínimo:
- La tabla
*_userspara detectar usuarios administradores fantasma - La tabla
*_usermetasi sospechas que a un usuario normal le han dado permisos de administrador - La tabla
*_optionssi ves URLs raras, scripts inyectados o cambios que no reconoces
En la carpeta uploads, busca esto:
- Archivos
.php,.phtmlo similares - Carpetas recién creadas con nombres aleatorios
- Ficheros que no son imágenes, PDFs, vídeos o documentos normales de la web
En una instalación WordPress sana, uploads no debería ejecutar PHP.
Si encuentras PHP ahí, trátalo como sospechoso hasta demostrar lo contrario.
También conviene revisar:
- Plugins y temas que ya no usas
- Themes nulled o pirateados
- Plugins abandonados o sin actualizar desde hace mucho
Lo que no uses, bórralo.
Desactivado no significa seguro.
Saca tu web de la lista negra de Google
Si Google detectó malware, phishing o contenido peligroso, puede mostrar avisos en Chrome o etiquetas de seguridad en los resultados.
La prioridad aquí es no pedir la revisión demasiado pronto. Primero limpia todo.
Después entra en Search Console y revisa el Informe "Problemas de seguridad".
Cuando ya no queden restos:
- Abre la incidencia dentro de Search Console.
- Comprueba ejemplos de URLs afectadas.
- Verifica que la limpieza está hecha en todas las páginas comprometidas, no solo en una muestra.
- Pulsa Solicitar revisión y explica qué has corregido.
Si además ves spam SEO o páginas falsas indexadas, revisa también el informe de Acciones manuales. No suele ser la parte principal del problema, pero conviene descartarla.
Google puede tardar varios días o incluso semanas en retirar los avisos. Si envías la solicitud sin haber limpiado bien, lo normal es alargar el proceso.
No vale con arreglar una URL de muestra. Google espera que el problema desaparezca en toda la instalación.
Revisa las URLs afectadas, el informe de Problemas de seguridad y cualquier señal de contenido peligroso o spam.
Explica qué has corregido y qué medidas has tomado para que no vuelva a ocurrir.
Sin malware visible, sin redirecciones raras, sin usuarios admin fantasma, sin URLs falsas activas y con el origen del problema ya cerrado.
Si hubo spam SEO, revisa también Acciones manuales. No suele ser el foco principal, pero conviene descartarlo.
Recuperación SEO post hackeo
No siempre hace falta montar una operación SEO enorme.
Si detectaste el hackeo pronto y Google apenas llegó a indexar basura, puede bastar con limpiar, pedir revisión y reenviar señales correctas.
Revisa esto con calma:
- Busca en Google
site:tudominio.compara detectar URLs de spam que sigan vivas. - Si aparecieron URLs falsas de spam japonés, farmacia o apuestas, devuelve 410 Gone en esas rutas si ya no deben existir.
- Sube un sitemap limpio a Search Console con solo las URLs válidas.
- Comprueba que las páginas buenas siguen respondiendo con
200y no se han quedado rotas o redirigidas.
Si el ataque creó miles de páginas basura, no intentes taparlo solo con redirecciones a la home. Es mejor devolver 410 a lo que ya no existe y dejar claro a Google qué URLs siguen siendo reales.
Durante unas semanas, vigila:
- impresiones y clics
- páginas indexadas
- términos de búsqueda raros
- nuevas URLs que no reconozcas
Si los datos vuelven a su sitio y no reaparece spam, vas por buen camino.
Haz consultas `site:` y localiza URLs de spam que todavía sigan vivas o indexadas.
Si las URLs falsas ya no deben existir, mejor un `410 Gone` que esconder todo detrás de la home.
Envía solo las URLs válidas para reforzar qué páginas siguen formando parte del sitio real.
Impresiones, clics, indexación y términos raros te dirán si el problema desapareció o si algo sigue goteando.
Las páginas sanas responden con `200`, el sitemap ya solo lista URLs válidas y dejan de aparecer consultas o rutas extrañas.
No tapes miles de URLs basura con una redirección masiva a la home. Para Google suele ser una señal mucho menos limpia que un `410` bien aplicado.
Cómo evitar futuros hackeos en tu servidor
Una limpieza buena no termina cuando la web vuelve a abrir. Termina cuando cierras la vía de entrada.
Qué conviene dejar hecho:
- Actualiza WordPress, plugins y temas en cuanto salga un parche de seguridad.
- Borra plugins y themes que no uses.
- No instales themes piratas o plugins nulled.
- Usa contraseñas únicas y largas para Plesk, WordPress, FTP y base de datos.
- Activa doble factor si tu plugin de seguridad lo permite.
- Limita el número de administradores al mínimo.
- Revisa de forma periódica los usuarios, los cambios de archivos y los avisos del hosting.
Si quieres reforzar la parte preventiva, apóyate en un buen plugin de seguridad para WordPress y en una rutina de revisión mínima cada mes.
También ayuda trabajar sobre un entorno estable, con copias, panel claro y soporte que conozca WordPress. En Loading eso encaja especialmente bien con el hosting WordPress, pero la clave real sigue siendo esta: actualizar, revisar y eliminar lo que no usas.
WordPress, plugins y temas no deben esperar semanas cuando hay parches de seguridad de por medio.
Desactivado no significa inocuo. Themes nulled, plugins viejos o abandonados son superficie de riesgo.
Contraseñas únicas, largas y, si puedes, doble factor para el panel y los usuarios con más privilegios.
Cuantos más usuarios con acceso alto, más difícil es controlar credenciales, cambios y fugas.
Usuarios nuevos, archivos cambiados y avisos del hosting no deberían pasar semanas sin revisión.
Copias, panel claro y un entorno bien mantenido reducen mucho el tiempo de reacción cuando algo falla.
La mejor prevención no es una sola herramienta. Es una rutina simple: actualizar, limpiar software sobrante, revisar accesos y reaccionar pronto ante cualquier anomalía.
Conclusión
Cuando una web cae por malware, el orden importa mucho.
Primero frena el daño. Luego recupera el acceso. Después limpia archivos, base de datos, usuarios y credenciales. Y al final, pide revisión a Google y revisa qué agujero permitió la entrada.
Un WordPress hackeado puede volver a la normalidad rápido si actúas sin improvisar y no dejas dentro el plugin, usuario o archivo que abrió la puerta.