Limpieza de virus en WordPress: elimino malware, backdoors y recupero tu sitio
¿Tu WordPress redirige a páginas extrañas, Google lo marcó como peligroso o el hosting suspendió tu cuenta? Hago el análisis forense completo, elimino todo el código malicioso y cierro los vectores de entrada para que no vuelva a ocurrir.
¿Tu WordPress tiene alguno de estos síntomas?
Los hackers rara vez muestran lo que hicieron. Tu sitio puede llevar semanas infectado sin que lo notes. Estas son las señales más habituales.
Redirecciones a páginas extrañas
Al entrar al sitio desde Google o desde el móvil, el visitante termina en páginas de casino, farmacia ilegal o contenido adulto. Tú no ves nada raro porque el malware detecta cuando eres el administrador y te muestra el sitio normal.
Advertencia de "Sitio peligroso"
Chrome o Firefox muestran una pantalla roja antes de dejar entrar: "El sitio que intentas visitar puede dañar tu equipo." Esto es Google Safe Browsing activo. Cada minuto en ese estado pierdes visitantes y credibilidad.
Páginas de spam en Google
Al buscar tu sitio en Google aparecen resultados con títulos como "Viagra barato", "Casino online" o URLs en japonés o ruso que nunca publicaste. Los hackers inyectan miles de páginas spam para aprovecharse de tu autoridad de dominio.
El hosting suspendió tu cuenta
Recibes un correo de tu proveedor de hosting avisando que desactivaron el sitio por detección de malware, envío masivo de spam o uso excesivo de CPU. Esta es una señal de infección activa que el hosting ya detectó por ti.
Administradores que no reconoces
En el panel de usuarios de WordPress aparecen cuentas con rol de "Administrador" que nadie del equipo creó: nombres como "admin2", "wordpress_backup" o correos con dominios desconocidos. Son puertas traseras humanas.
Tu dominio envía spam
Contactos tuyos reciben correos de spam que supuestamente vienen de tu empresa, o tu dominio apareció en listas negras como Spamhaus o Barracuda. El servidor está siendo usado como relay para enviar miles de mensajes.
¿No ves ninguno de estos síntomas pero sospechas que algo está mal? Eso también es posible: muchos tipos de malware son completamente invisibles para el propietario del sitio.
Pedir diagnóstico gratuitoLo que le pasa a tu negocio mientras el sitio sigue infectado
Muchas empresas esperan días antes de actuar. Ese tiempo tiene un costo real, no solo técnico.
Pérdida de posicionamiento SEO
Google indexa el malware y penaliza el dominio. Las páginas de spam que inyectaron los atacantes compiten contra tu propio contenido. Recuperar el posicionamiento perdido puede tardar semanas o meses, incluso después de limpiar el sitio.
Daño a la reputación de la marca
Cuando un cliente o proveedor intenta entrar a tu sitio y ve la pantalla roja de "Sitio peligroso", la primera reacción es desconfiar de tu empresa. Ese daño de credibilidad es difícil de revertir, especialmente en mercados B2B.
Dominio de correo en lista negra
Si tu servidor envía spam, tu dominio termina en blacklists de correo. Esto significa que los correos que envías desde tu empresa van directo a spam para tus clientes, proveedores y prospectos, aunque el sitio ya esté limpio.
Exposición de datos de clientes
Algunos malware instalan keyloggers o scrapers que capturan formularios de contacto, datos de login o información de clientes en tiempo real. Si recopilas datos personales, esto puede tener implicaciones legales bajo la Ley 1581 de Colombia.
Tipos de malware que elimino en WordPress
No todo el malware se ve igual ni actúa de la misma forma. Entender qué tipo de infección tiene tu sitio es el primer paso para eliminarlo correctamente.
Backdoors (puertas traseras)
Scripts PHP ocultos que les dan a los atacantes acceso permanente al servidor, incluso después de cambiar contraseñas. Se camuflan con nombres de archivo que imitan los del core de WordPress como wp-log.php o class-wp-cache.php.
Inyecciones en base de datos
Código JavaScript o PHP malicioso inyectado directamente en registros de la base de datos: posts, opciones de WordPress, metadatos o widgets. Se carga en cada página del sitio y es difícil de detectar sin revisar la BD directamente.
Malware de redirección
Código que detecta si el visitante viene de Google y lo redirige a sitios de spam antes de que cargue la página real. El propietario no ve nada raro porque el malware identifica la IP del administrador y muestra el sitio normal.
Webshells
Interfaces web que le dan a los atacantes control total sobre el servidor desde un navegador. Con una webshell pueden leer, modificar y eliminar cualquier archivo, lanzar ataques a otros servidores o instalar más malware.
Spam mailers
Scripts que convierten tu servidor en un relay de correo masivo. Envían miles de emails de phishing, publicidad no deseada o estafas usando tu dominio y la reputación de tu IP, hasta que el hosting lo detecta y suspende la cuenta.
SEO spam (cloaking)
Miles de páginas de contenido spam creadas en tu sitio que solo son visibles para los crawlers de Google. Usan la autoridad de tu dominio para posicionar contenido ilegal o de baja calidad. Con el tiempo destruyen tu posicionamiento orgánico.
Qué incluye la limpieza de virus en WordPress
No es solo borrar archivos. Una limpieza profesional cubre cuatro frentes: diagnóstico, eliminación, blindaje y recuperación de reputación.
🔬 Análisis forense
- ✓Escaneo completo de archivos del servidor
- ✓Revisión de la base de datos por inyecciones
- ✓Identificación de backdoors y webshells
- ✓Análisis de logs de acceso al servidor
- ✓Detección del vector de entrada original
🧹 Limpieza y eliminación
- ✓Backup completo previo a cualquier cambio
- ✓Eliminación de todos los archivos maliciosos
- ✓Limpieza de código inyectado en la base de datos
- ✓Reinstalación limpia del núcleo de WordPress
- ✓Eliminación de usuarios administradores falsos
🔒 Refuerzo de seguridad
- ✓Cambio de contraseñas y claves secretas de WordPress
- ✓Actualización de core, plugins y temas
- ✓Corrección de permisos de archivos y carpetas
- ✓Reglas de seguridad en .htaccess
- ✓Activación de firewall de aplicación web
🏆 Recuperación y reputación
- ✓Solicitud de revisión a Google Search Console
- ✓Eliminación de advertencias de Safe Browsing
- ✓Revisión de listas negras de correo (Spamhaus, etc.)
- ✓Informe detallado de lo encontrado y corregido
- ✓Plan de prevención personalizado
Cómo funciona la limpieza de virus en WordPress, paso a paso
Trabajo con un protocolo definido para no dejar ningún rastro de malware sin detectar. Cada paso se documenta.
Acceso y backup de emergencia
Me compartes acceso FTP/SSH y al panel de WordPress. Antes de tocar cualquier archivo, hago una copia completa del sitio infectado: archivos y base de datos. Así siempre hay un punto de restauración, sin importar qué ocurra.
Análisis forense completo
Escaneo archivo por archivo en el servidor, reviso cada tabla de la base de datos y analizo los logs de acceso. Identifico qué archivos están infectados, qué tipo de malware es, por dónde entraron los atacantes y desde cuándo lleva infectado.
Eliminación quirúrgica del malware
Elimino todos los archivos maliciosos, limpio las inyecciones en la base de datos y reinstalo el core limpio de WordPress desde el repositorio oficial. Verifico que el sitio funcione correctamente después de cada paso, no solo al final.
Hardening y cierre de vectores
Cambio todas las credenciales (WordPress, FTP, base de datos), actualizo todo el software, corrijo permisos de archivos y carpetas, y configuro reglas de seguridad para cerrar exactamente los mismos vectores que usaron los atacantes para entrar.
Recuperación de reputación con Google
Solicito formalmente la revisión en Google Search Console para eliminar las advertencias del navegador. Google responde en 1 a 3 días hábiles. También verifico las listas negras de correo y solicito la remoción si el dominio fue marcado.
Trabajo directamente en el servidor, no con plugins
La mayoría de los servicios de "limpieza WordPress" instalan un plugin de seguridad, hacen un escaneo automático y listo. Eso detecta el 60-70% del malware visible, pero deja intactos los backdoors más sofisticados, las inyecciones en la base de datos y los webshells ofuscados.
Yo trabajo directamente en los archivos del servidor por FTP/SSH, reviso la base de datos tabla por tabla, analizo los logs de acceso para reconstruir cómo entraron, y verifico manualmente cada archivo sospechoso. Es más lento, pero es la única forma de garantizar una limpieza completa.
Al finalizar te entrego un informe escrito con exactamente qué se encontró, qué se eliminó, por dónde entraron los atacantes y qué hacer para que no vuelva a ocurrir.
Nunca intervengo un sitio sin tener primero una copia completa. Sin excepciones.
Los accesos que me compartes se usan exclusivamente para la limpieza. Puedes cambiarlos al finalizar.
Te explico qué pasó, en palabras normales. No necesitas saber programación para entender el informe.
Si el mismo malware vuelve a aparecer en los 30 días siguientes a la limpieza, lo reviso sin costo adicional.
¿Tu WordPress está hackeado ahora mismo?
Cada hora que pasa, Google indexa más contenido malicioso de tu sitio. Contáctame ahora y te digo en menos de 2 horas si tu sitio está infectado.
Todo lo que necesitas saber sobre la limpieza de virus en WordPress
Esa es precisamente la estrategia del malware moderno: ser invisible para el administrador. Técnicas como el cloaking muestran el sitio normal cuando detectan que eres el dueño, pero redirigen a los visitantes que vienen de Google. Para confirmarlo, busca tu sitio en Google en modo incógnito, revisa Google Search Console por advertencias de seguridad, o pídeme un diagnóstico gratuito.
Depende del nivel de infección. Una infección estándar (malware en archivos del tema o plugins) tarda entre 4 y 8 horas. Una infección profunda con inyecciones en base de datos, múltiples backdoors o malware obfuscado puede tomar entre 12 y 24 horas. Los casos más complejos, como sitios hackeados durante semanas con miles de páginas spam generadas, pueden requerir hasta 48 horas.
Si solo se elimina el malware visible sin cerrar el vector de entrada, la reinfección puede ocurrir en días o incluso horas. Por eso el servicio siempre incluye hardening post-limpieza: identifico cómo entraron los atacantes, cambio todas las credenciales, actualizo todo el software, corrijo permisos de archivos y activo un firewall de aplicación. La limpieza sin hardening no es una solución completa.
Sí. Una vez que el sitio está completamente limpio, solicito formalmente la revisión a través de Google Search Console. El proceso es: limpiar el sitio → solicitar revisión → Google revisa → elimina la advertencia. Google normalmente procesa estas solicitudes entre 1 y 3 días hábiles. Nota importante: si el sitio no está realmente limpio y solicitas revisión, Google puede ampliar el período de penalización.
Sí. Para hacer una limpieza real, necesito acceso FTP/SFTP o SSH al servidor, y acceso al panel de WordPress. El acceso al cPanel o Plesk también es útil para revisar los logs del servidor y la base de datos. Todos los accesos se usan exclusivamente para la limpieza. Al finalizar, te recomiendo cambiar todas las contraseñas como parte del protocolo de seguridad.
Siempre. Es el primer paso, sin excepción. Antes de eliminar un solo archivo, hago una copia completa del sitio tal como está: archivos del servidor y volcado completo de la base de datos. Esto sirve para dos cosas: tener un punto de restauración si algo sale mal durante la limpieza, y para el análisis forense de comparar el sitio infectado con la versión limpia.
Aún puedo ayudarte. El malware raramente está en un solo lugar. Aunque hayas eliminado los archivos más obvios, es probable que queden backdoors en directorios menos visibles, inyecciones en la base de datos, o modificaciones en archivos del core que no detectaste. El análisis forense puede encontrar rastros incluso cuando parte del malware ya fue eliminado.
Protege tu WordPress para que no vuelva a ocurrir
Limpiar el sitio es urgente. Blindarlo para el futuro es lo que hace que no vuelvas a pasar por esto.
Seguridad WordPress
Hardening avanzado, firewall de aplicación, protección de login y monitoreo continuo. El paso natural después de una limpieza.
Ver servicio →Backup WordPress
Backups automáticos diarios en la nube. Si algo vuelve a pasar, restauras el sitio limpio en minutos, no en días.
Ver servicio →Mantenimiento WordPress
Plan mensual con actualizaciones controladas, monitoreo de seguridad y soporte. La forma más barata de evitar una reinfección.
Ver servicio →Cuéntame qué está pasando con tu WordPress
Diagnóstico inicial gratuito. Me describes el síntoma que viste, yo reviso y te confirmo en menos de 2 horas si el sitio está infectado y qué nivel de intervención necesita. Sin compromiso.