¿Tu sitio de WordPress muestra advertencias de seguridad? ¿Tu nombre de dominio ya no permite el acceso?  ¿Tu contenido ha sido alterado o ya no puedes acceder a la consola de WordPress? De alguna manera, tienes la sensación de que tu sitio ha sido hackeado.

En este artículo, te ayudaremos a limpiar y reparar un sitio de WordPress hackeado para que vuelva a funcionar. También compartimos algunas recomendaciones para evitar que vuelva a ocurrir.

¿Cómo saber si mi sitio de WordPress ha sido hackeado?

Estos son los principales síntomas que identifican un sitio de WordPress infectado por una persona o malware:

  • Los navegadores y/o motores de búsqueda como Google muestran una advertencia cuando accedes a tu sitio.
  • Tu proveedor de alojamiento ha informado de actividad sospechosa o ha puesto en mantenimiento tu sitio por razones de seguridad.
  • Tu nombre de dominio redirecciona a otro sitio.
  • El contenido de tus páginas está alterado (especialmente los enlaces).
  • Hay usuarios desconocidos o sospechosos en tu consola de WordPress.
  • Hay entradas anómalas en los registros (logs) o en la base de datos de tu sitio.
  • Ya no puedes acceder a tu sitio ni a la consola de WordPress.
  • Tu sitio es más lento de lo habitual o no responde.
  • Tu plugin de seguridad muestra advertencias poco comunes.

¿Cómo reparar un sitio de WordPress hackeado?

Es imprescindible actuar. Estas son las acciones a seguir para tratar de resolver la situación.

💡 ¿Puede mi proveedor de alojamiento repararme el sitio? Por lo general, un proveedor de alojamiento no interviene en el contenido de un alojamiento ni en el desarrollo de un sitio web. Su función es garantizar la disponibilidad, el rendimiento y la seguridad de tu servidor y ayudarte en el uso de tu alojamiento web (por ejemplo, para actualizar la versión de PHP de tus sitios web o para ejecutar un análisis antivirus de un sitio web). Crear o mantener un sitio web es un oficio muy diferente. Si necesitas ayuda para reparar un sitio de WordPress hackeado, lo más eficaz será que te acompañe un profesional. En caso necesario, Infomaniak pone a tu disposición de forma gratuita una plataforma de solicitud de presupuesto que te pone en contacto de forma gratuita con profesionales reconocidos.

La mejor opción: restaura tu sitio con una copia de seguridad intacta

La forma más rápida y segura de volver a poner en marcha un sitio hackeado es restaurar una copia de seguridad intacta.

  • En Infomaniak, se hace una copia de seguridad de los sitios web a diario y puedes restaurarlos automáticamente como estaban en los últimos 7 días. Para obtener más información, consulta esta guía.
  • La mayoría de los proveedores de alojamiento guardan automáticamente los sitios durante unos días. Por eso, es aconsejable que reacciones lo más rápido posible para aumentar tus posibilidades de recuperar una copia de seguridad intacta de tu sitio.

💡 ¿No tienes una copia de seguridad intacta de tu sitio web? Te animamos a crear una copia de seguridad automática de tu sitio en cuanto se resuelva la situación. Con Swiss Backup y Acronis, Infomaniak te permite automatizar la copia de seguridad de tu sitio web mediante FTP dondequiera que esté alojado. También puedes utilizar Swiss Backup con la extensión UpdraftPlus mediante el protocolo S3.

Paso 1:  pon tu sitio en mantenimiento

Lo primero que debes hacer es proteger la reputación de tu sitio web y la seguridad de tus visitantes. El modo de mantenimiento evitará que los motores de búsqueda y tus visitantes se den cuenta de que tu sitio ha sido pirateado y también evitará que tu seguridad se vea comprometida con malware o intentos de fraude.

Las opciones más fáciles son:

  • Activar el mantenimiento de tu sitio web mediante el cuadro de mando de tu alojamiento. Con Infomaniak, esto se hace en unos pocos clics.
  • Usar un plugin de mantenimiento del directorio oficial de WordPress.
  • Si tu alojamiento no tiene modo de mantenimiento y ya no tienes acceso a tu consola de WordPress, mueve los archivos de tu sitio de WordPress a una subcarpeta mediante FTP. Luego crea un archivo index.html en la raíz del sitio con el texto «SITIO EN MANTENIMIENTO».

Paso 2: cambia tus contraseñas y verifica tus usuarios de WordPress

Lo segundo que debes hacer es evitar que los hackers accedan fácilmente a los datos de tu sitio web o modifiquen su contenido.

Para ello, cambia las siguientes contraseñas:

A continuación, comprueba la lista de tus cuentas desde la consola de WordPress. Elimina todos los usuarios sospechosos.

💡 Para mayor seguridad: no reutilices contraseñas antiguas ni uses la misma contraseña varias veces. Si aún no lo has hecho, te recomendamos que utilices un software como BitWarden para proteger y administrar tus contraseñas fácilmente.

Paso 3: elimina todas las extensiones y temas sospechosos y no utilizados

El siguiente paso es verificar la lista de tus extensiones de WordPress:

  • Elimina los plugins que no hayas instalado tú mismo.
  • Elimina los plugins que no se hayan actualizado recientemente.
  • Elimina los plugins que provienen de una fuente desconocida.

💡 Consejo: cuantos menos plugins utilices, más aclaras la situación. Esto también reducirá tu exposición a los riesgos de seguridad.

Paso 4: escanea tu sitio web con un antivirus

¡Es hora de verificar la integridad de tu instalación de WordPress y de los archivos almacenados en tu alojamiento!

Hay varias opciones disponibles para hacer este importante trabajo:

Antes de pagar por un plugin de terceros, piensa en las herramientas gratuitas de tu proveedor de alojamiento web. En Infomaniak, por ejemplo, los alojamientos incorporan un antivirus y una protección anti-malware que corrige automáticamente las vulnerabilidades conocidas de los CMS populares como WordPress, Joomla o Drupal.

Paso 5: actualiza WordPress, plugins y temas

Esa es la base y deberías hacerlo periódicamente: actualizar tu instalación de WordPress, así como tus extensiones y tu tema. Para estar tranquilo, tómate unos segundos para activar la actualización automática de tu sitio.

💡 ¿Por qué es tan importante? En cuanto se detecta una vulnerabilidad, se ofrece una actualización para corregir la vulnerabilidad en las instalaciones de los usuarios. Si no actualizas tu sitio, es como si estuvieras exponiendo tu vulnerabilidad a la luz pública.

Paso 6: elimina los archivos y el contenido parasitario

Después del escaneo automático de tu sitio, es necesario pasar a las comprobaciones manuales:

  • Comprueba y corrige el contenido de las páginas y artículos de tu sitio web, especialmente los enlaces.
  • Conéctate mediante FTP a tu alojamiento y comprueba el árbol de tu instalación de WordPress. Si ves archivos inesperados en comparación con los archivos originales, elimínalos o continúa con el paso 8.
  • Comprueba el archivo de configuración de WordPress (wp-config.php) comparándolo con la versión original de WordPress.

💡 ¿Necesitas ayuda? Si no tienes las competencias técnicas necesarias para llevar a cabo estas verificaciones, puedes pedir presupuesto mediante esta plataforma para que te acompañe un experto. Recibirás presupuestos en un plazo de 48 horas. Es gratis y sin compromiso.

Paso 7: regenera tu Sitemap

El sitemap contiene el mapa de tu sitio y es utilizado por los motores de búsqueda para entender lo que contiene.

Si tu sitio web activa alertas de motores de búsqueda y navegadores, puede deberse a que el archivo sitemap.xml de tu sitio web ha sido pirateado.

Puedes utilizar un plugin para generar un nuevo archivo sitemap y enviarlo de nuevo a los motores de búsqueda. Algunas extensiones hacen ambas cosas por ti, como XML Sitemaps o Yoast SEO por ejemplo. También puedes hacerlo manualmente desde la Consola de búsqueda de Google.

Paso 8: vuelve a instalar WordPress (si fuera necesario)

Si todo lo que has hecho ha fallado o sigues sin poder acceder a la consola de WordPress, reinstalar WordPress podría desbloquear tu situación.

Hay varias opciones para que puedas volver a instalar el núcleo de WordPress sin que afecte al contenido de tu sitio.

Todavía tienes acceso a la consola de WordPress (método automático)

  1. Vete a Cuadro de mando => Actualizaciones
  2. Pincha en el botón Reinstalar la versión X.XX.

Ya no puedes acceder a la consola de WordPress (método manual)

  1. Obtén la última versión oficial de WordPress.
  2. Descomprime el archivo ZIP en tu ordenador.
  3. Elimina la carpeta /wp-content/.
  4. Conéctate a tu alojamiento mediante FTP (guía de Infomaniak).
  5. Descarga los archivos de WordPress (sin /wp-content/) en la carpeta donde lo instalaste originalmente.
  6. Tu software FTP debería detectar elementos similares: selecciona la opción Sobrescribir y continúa.

💡 ¿Necesitas ayuda? Si no tienes las habilidades técnicas para seguir estos pasos, puedes pedir presupuesto mediante esta plataforma para que te ayude un experto. Recibirás presupuestos en un plazo de 48 horas. Es gratis y sin compromiso.

Paso 9: vuelve a instalar los temas y extensiones (si fuera necesario)

Si te enfrentas a un hackeo importante o sospechas que una extensión o tu tema está causando el problema, se recomienda volver a instalar la última versión del tema o la extensión en cuestión. De este modo, tendrás la certeza de volver a la normalidad.

Las medidas que deben adoptarse son las siguientes:

  1. Conéctate a tu alojamiento mediante FTP (guía de Infomaniak).
  2. Vete a la carpeta de temas o plugins de WordPress (/wp-content/themes o /wp-content/plugins)
  3. Busca la carpeta del tema o extensión a reinstalar y renombra esa carpeta con _old al final (por ejemplo: Yoast SEO_old).
  4. Obtén la última versión de tu tema o extensión de una fuente fiable.
  5. Descomprime el archivo ZIP en tu ordenador.
  6. Descarga la carpeta de la extensión o tema en la carpeta donde lo instalaste originalmente.
  7. Asegúrate de que todo funciona correctamente con la versión reinstalada y elimina la carpeta antigua _old.

💡 ¿Necesitas ayuda? Si no tienes las habilidades técnicas para seguir estos pasos, puedes pedir presupuesto mediante esta plataforma para que te ayude un experto. Recibirás presupuestos en un plazo de 48 horas. Es gratis y sin compromiso.

Paso 10: desactiva el modo de mantenimiento

¿Tu sitio está de nuevo en marcha? Enhorabuena 👏

Ahora es el momento de desactivar el modo de mantenimiento para volver a abrirlo al público 😎🚀

Asegúrate de vaciar la caché de tu sitio y tu navegador antes de cargar tu sitio para tener la última versión.

¿Por qué se hackea un sitio de WordPress?

Los robots (también conocidos como bots) exploran constantemente la web en busca de sitios web que contengan vulnerabilidades que puedan ser explotadas automáticamente. En la inmensa mayoría de los casos, los ataques no se dirigen específicamente contra tu sitio web, así que basta con seguir las buenas prácticas para evitar problemas 😇

8 buenas prácticas para proteger tu sitio de WordPress frente a la piratería

Estas son las mejores prácticas que puedes seguir para proteger tus sitios de WordPress al máximo frente a los intentos de hackeo.

1. Elige un alojamiento WordPress seguro

Algunos proveedores de alojamiento como Infomaniak implementan medidas avanzadas que aumentan la seguridad de los sitios:

  • protección contra ataques DDoS
  • protección contra virus
  • protección contra malware con autocorrección
  • soporte para las últimas versiones de PHP y MySQL/MariaDB
  • copias de seguridad diarias (últimos 7 días) en otro datacenter
  • restauración automática y completa en 1 clic
  • asistencia local 7/7 por correo electrónico, chat y teléfono
  • temas y extensiones Elegant Themes con Divi incluido
  • certificados SSL gratuitos y profesionales (Sectigo)

2. Limita y utiliza sólo plugins populares

Cada extensión de WordPress aumenta tus posibilidades de introducir vulnerabilidades en tu sitio. Limítalos a lo estrictamente necesario.

Da prioridad a los recursos populares, ya que los temas y extensiones de WordPress que no se actualizan periódicamente generan vulnerabilidades importantes con el tiempo.

3. Activa la actualización automática de WordPress y tus plugins

No actualizar WordPress, extensiones, temas y tu versión de PHP es literalmente como salir de casa dejando la puerta abierta e indicarlo con un cartel 😅

Configurar la actualización automática de WordPress solo te llevará unos segundos, y puede ahorrarte muchos problemas.

4. Haz una copia de seguridad automática de tu sitio web

En caso de problemas de seguridad, debes ser capaz de restaurar tu sitio fácilmente con la ayuda de una versión intacta. Un sistema de copia de seguridad automática minimizará el tiempo necesario para volver a la normalidad.

Puedes confiar en las copias de seguridad automáticas gratuitas de tu alojamiento y, además, puedes configurar una rutina mediante FTP para guardar tu sitio en un espacio seguro en la nube como Swiss Backup:

5. Aumenta la seguridad de tus usuarios WordPress

Muchas instalaciones de WordPress todavía tienen el usuario «admin» como inicio de sesión. Por lo tanto, es más probable que sea explotado por un robot o un hacker para forzar el acceso a tu sitio:

  • Cambia el seudónimo de tus usuarios de WordPress por nombres únicos desde el menú Cuentas de tu consola de WordPress
  • Elige contraseñas únicas, largas y complejas y utiliza un software seguro como BitWarden para gestionar tus contraseñas

6. Protege el acceso a tu consola de WordPress frente a los robots

Por defecto, la URL de acceso a la página de inicio de sesión de un sitio de WordPress sigue la misma construcción: tudominio.com/wp-admin. Como es muy fácil saber si un sitio usa WordPress (esto se ve inmediatamente en el código fuente de un sitio), esta URL de acceso es forzosamente accesible para hackers y robots. Todo lo que queda por hacer es atacar esa página con fuerza bruta.

  • Es fácil y rápido asegurar la página de inicio de sesión de WordPress con una extensión como WPS Hide Login.
  • Se recomienda limitar los intentos de conexión a tu consola de WordPress (por ejemplo, con Limit Login Attempts Reloaded). Esto evitará que los robots y los hackers prueben miles de contraseñas seguidas.

💡 Importante:

  • Si estableces un límite de inicio de sesión y cambias la URL de acceso de tu consola de WordPress, ten en cuenta esta información para evitar que estas protecciones se vuelvan en tu contra: toma nota de la nueva URL de acceso y evita introducir una contraseña o un nombre de usuario incorrectos varias veces.
  • Los plugins de seguridad «todo en uno» como Wordfence incorporan varias medidas de seguridad de forma nativa. Evita instalar diferentes extensiones con la misma función y en caso de duda, consulta a un profesional.

7. Utiliza tecnologías actualizadas (PHP, MySQL/MariaDB)

WordPress funciona con PHP/MySQL y estas tecnologías evolucionan constantemente. Cuando estás utilizando una versión de PHP que ya no se mantiene actualizada, estás exponiendo tu sitio web a riesgos de seguridad. Por ejemplo, las personas malintencionadas podrían aprovechar las vulnerabilidades de seguridad conocidas para hackear tu sitio web y modificar su contenido. Por lo tanto, es importante utilizar una versión mantenida de PHP. Además, las últimas versiones de PHP son más potentes y aceleran la carga de los sitios web.

8. Bloquear comentarios y mensajes no deseados (spam)

Los robots y las personas malintencionadas a menudo aprovechan el espacio de comentarios debajo de los artículos para colocar contenido y enlaces publicitarios. Para detener esta plaga que afecta a la reputación y la indexación de tu sitio, afortunadamente hay varias opciones fáciles de implementar.

He aquí 3 opciones populares para bloquear el spam de un sitio de WordPress:

***

Esperamos que esta guía te haya ayudado a reparar tu sitio de WordPress o mejorar su seguridad. De lo contrario, te recomendamos que solicites ayuda a una agencia web o un profesional reconocido, especialmente si no has creado tú mismo tu sitio de WordPress.

Más información