WordPress hackeado: qué hacer en las primeras 24 horas

Las primeras horas: contener, no improvisar

Lo primero no es reinstalar plugins ni cambiar contraseñas a ciegas. Es reducir el daño y entender qué pasó.

Si podés, poné el sitio en mantenimiento o limitá el acceso público mientras evaluás. No borres archivos ni la base de datos sin una copia: eso dificulta saber qué se modificó y recuperar contenido legítimo.

Anotá qué ves: redirecciones raras, avisos de Google Search Console, correos de tu hosting, plugins desactivados solos, usuarios admin que no reconocés o archivos nuevos en carpetas del core.

• Hacé backup de archivos y base de datos aunque estén infectados (sirve para comparar y analizar).
• Cambiá contraseñas de WordPress, FTP/SFTP, panel de hosting y correo asociado al dominio.
• Revisá usuarios administradores y claves de API activas.
• Comprobá si el certificado SSL sigue vigente y si hay cambios en DNS que no hayas hecho vos.

Señales típicas de un WordPress comprometido

No siempre hay una pantalla roja que diga “hackeado”. Muchas veces el sitio “funciona” pero redirige a otro dominio, muestra spam en el código fuente o envía correo no deseado desde el servidor.

• Redirecciones a sitios desconocidos (a veces solo en móvil o solo si venís de Google).
• Archivos PHP sospechosos en wp-content, wp-includes o en la raíz.
• Plugins o temas que no instalaste vos.
• Caída brusca de tráfico orgánico o aviso de “sitio peligroso” en el navegador.
• Correos de rebote por spam enviado desde tu dominio.
• Consumo de recursos del hosting disparado sin más visitas.

Qué no hacer (aunque den ganas)

Instalar “el plugin antivirus más popular” sin limpiar antes suele dejar puertas traseras activas. Lo mismo pasa si restaurás un backup viejo sin saber en qué fecha estaba limpio el sitio.

Tampoco conviene ignorar el problema esperando que “se arregle solo”: los sitios infectados suelen usarse para phishing, spam o ataques a otros servidores, y tu hosting puede suspenderte la cuenta.

• No pagues rescates ni confíes en servicios que prometen limpieza en 5 minutos sin revisar accesos.
• No reutilices la misma contraseña en hosting, WordPress y correo después del incidente.
• No des de baja el sitio sin guardar evidencia si necesitás reclamar o auditar después.

Limpieza puntual vs. revisión completa

Una limpieza bien hecha incluye: identificar la puerta de entrada, eliminar malware, revisar temas y plugins, actualizar core y extensiones, endurecer permisos y verificar que no queden tareas programadas (cron) ni usuarios ocultos.

Si el hosting es compartido barato, el plan puede estar saturado o mal configurado: limpiar WordPress ayuda, pero a veces el origen está en credenciales filtradas, un plugin abandonado o un entorno sin actualizar desde hace años.

Cuando el sitio es crítico para el negocio — ventas, reservas, imagen de marca — conviene una revisión de hosting, backups y accesos, no solo borrar archivos infectados.

Cuándo pedir ayuda

Tiene sentido escribirnos si no tenés copia de seguridad confiable, si el sitio volvió a infectarse después de limpiar, si no sabés por dónde entró el atacante o si necesitás volver a producción rápido sin perder SEO ni correos.

En una primera consulta revisamos el estado del sitio, el hosting y los accesos. Te decimos si alcanza una intervención puntual, si conviene migrar o reforzar el entorno — sin presión ni paquetes inflados.