Mi web ha sido hackeada: qué hacer paso a paso
← Blog
WordPress

Mi web ha sido hackeada: qué hacer paso a paso

Primero, respira: se arregla

Descubrir que tu web ha sido hackeada produce una mezcla de pánico y vergüenza que conocemos bien: en Cardeseo hemos protegido, auditado y limpiado más de 1.000 webs WordPress, y casi todos sus dueños nos llegaron con la misma sensación. La buena noticia es que un hackeo, por feo que se vea, casi siempre tiene arreglo completo: el contenido se recupera, el aviso rojo de Google se retira y la web vuelve a funcionar como antes.

La mala noticia es que el orden de los pasos importa muchísimo. Las prisas de los primeros minutos — borrar archivos "sospechosos", reinstalar todo a lo loco, restaurar una copia cualquiera — son la causa número uno de limpiezas a medias que recaen a las pocas semanas. Esta guía te cuenta qué hacer paso a paso, qué puedes hacer tú mismo gratis antes de contratar a nadie, y en qué momento conviene parar y llamar a un profesional.

Paso 1: confirma que de verdad te han hackeado

No todo comportamiento raro es un hackeo: a veces es un plugin roto, una caché corrupta o un problema del hosting. Antes de actuar, confirma. Estas son las señales que sí indican una intrusión:

  • Redirecciones extrañas: entras en tu dominio y acabas en una web de apuestas, criptomonedas o farmacia. Ojo: muchos hackeos solo redirigen a visitantes que llegan desde Google o desde el móvil, precisamente para que el dueño no lo note. Prueba a entrar desde una ventana de incógnito buscando tu marca en Google.
  • El aviso rojo de Google: "El sitio web que vas a visitar es engañoso" en Chrome, o la etiqueta "Este sitio puede haber sido hackeado" en los resultados de búsqueda.
  • Páginas que tú no has creado: busca en Google site:tudominio.com y revisa los resultados. Si aparecen cientos o miles de páginas en japonés, o vendiendo productos farmacéuticos, tienes el clásico hackeo de spam SEO.
  • Usuarios administradores que no reconoces: en WordPress, ve a Usuarios y filtra por perfil de administrador. Un usuario con nombre genérico que no creaste es señal inequívoca.
  • Tus emails van a spam de repente, o el hosting te avisa de envío masivo de correo desde tu cuenta.
  • El hosting te ha suspendido la web por "actividad maliciosa". A estas alturas, la duda está resuelta.

Dos herramientas gratuitas te ayudan a confirmar:

  • Google Search Console (search.google.com/search-console): si tu web está dada de alta, revisa la sección "Seguridad y acciones manuales". Google te dice ahí si ha detectado malware, inyección de contenido o páginas de spam, y en qué URLs. Si no la tienes dada de alta, este es el día para hacerlo: es gratis y es el canal oficial para pedir después la revisión que retira el aviso rojo.
  • Escáneres externos gratuitos: Sucuri SiteCheck o VirusTotal analizan tu web desde fuera y detectan malware visible, estado en listas negras y código inyectado. Importante ser honestos con sus límites: estos escáneres ven lo que ve un visitante, no el interior de tu servidor. Un resultado limpio en SiteCheck no garantiza que la web esté limpia — los backdoors no aparecen en un escaneo externo.

Paso 2: primeros auxilios (sin romper nada)

Confirmado el hackeo, toca contener el daño. En este orden:

Cambia TODAS las contraseñas

No solo la del administrador de WordPress. Todas: los usuarios administradores de WordPress, el panel del hosting, las cuentas FTP/SFTP, la base de datos y el correo asociado al dominio. Si el atacante tiene una de esas llaves, limpiarás la casa con la puerta abierta. Usa contraseñas largas y distintas entre sí, y si tu hosting ofrece verificación en dos pasos, actívala hoy.

No borres nada todavía

Es el error más tentador y el más caro. Los archivos infectados son evidencia: dicen por dónde entraron, desde cuándo y qué tocaron. Si los borras, el profesional que venga después (o tú mismo) trabajará a ciegas, y no podrás determinar si la intrusión afectó a datos personales — algo que, como veremos, tiene consecuencias legales. Borrar "lo que se ve" tampoco elimina las puertas traseras escondidas; solo avisa al atacante de que le has descubierto.

Haz una copia del estado actual

Sí, una copia de la web infectada. Suena contraintuitivo, pero es la práctica correcta: congela la evidencia y te protege si la limpieza posterior sale mal. Desde el panel del hosting, genera un backup completo de archivos y base de datos y descárgalo. Etiquétalo claramente ("web-infectada-fecha") para no restaurarlo por error.

Pon la web en modo mantenimiento

Mientras la web esté infectada, cada visitante está expuesto a redirecciones, anuncios maliciosos o robo de datos en formularios. Un modo mantenimiento (la mayoría de hostings lo ofrecen, o una página estática temporal) corta ese daño y, de paso, frena la sangría de reputación. Si tu web es una tienda, duele desactivarla — pero duele menos que un cliente cuyos datos de pago pasan por una web comprometida.

Avisa a tu hosting

Los proveedores serios tienen protocolos para estos casos y a veces ofrecen escaneos del lado del servidor que tú no puedes hacer. Además, si te suspenden la cuenta más adelante, constará que tú avisaste primero.

Por qué las limpiezas a medias recaen (casi siempre)

Llegados aquí, la tentación es instalar un plugin de seguridad, darle a "escanear y limpiar" y dar el problema por resuelto. A veces funciona. Muchas veces no, y la web recae a las dos o tres semanas. Las razones son siempre las mismas:

  1. Los backdoors no se buscaron. Un atacante competente deja varias puertas traseras: código escondido en archivos legítimos del tema, funciones inyectadas en la base de datos, usuarios de aspecto inocente, tareas programadas. Los plugins de seguridad detectan firmas de malware conocido, pero un backdoor de cuatro líneas camuflado en functions.php pasa desapercibido con facilidad.
  2. La vía de entrada sigue abierta. Si entraron por un plugin vulnerable y ese plugin sigue instalado sin actualizar, la reinfección es cuestión de días: los bots reintentan las mismas vulnerabilidades automáticamente, sin descanso. Limpiar sin parchear es fregar el suelo con el grifo abierto.
  3. No hubo blindaje posterior. Una web recién limpiada, sin hardening ni vigilancia, es exactamente el mismo objetivo fácil que era antes del hackeo.

Una limpieza completa tiene tres patas: eliminar el malware y los backdoors, cerrar la vía de entrada, y endurecer la instalación. Si falta cualquiera de las tres, no has limpiado: has aplazado.

Aquí viene la parte que la mayoría de guías técnicas omiten, y que puede costarte más que el propio hackeo.

Si tu web maneja datos personales — un formulario de contacto, cuentas de clientes, pedidos, reservas, comentarios con email — una intrusión puede constituir una brecha de seguridad de datos personales en el sentido del RGPD. Y el artículo 33 del RGPD establece un plazo muy concreto: tienes 72 horas desde que conoces la brecha para notificarla a la Agencia Española de Protección de Datos, salvo que puedas justificar que es improbable que suponga un riesgo para los afectados. Si el riesgo para ellos es alto, el artículo 34 te obliga además a comunicárselo directamente.

Tres cosas importantes:

  • El plazo corre desde que lo descubres, no desde que te apetece ocuparte. Por eso conservar las evidencias (paso 2) importa tanto: necesitas poder evaluar qué datos se vieron afectados.
  • No notificar es una infracción independiente. La AEPD ha sancionado a empresas no por sufrir el hackeo, sino por callárselo. La brecha puede ser mala suerte; el silencio es una decisión.
  • No toda intrusión es notificable. Un defacement de la portada sin acceso a datos personales puede no serlo. Pero esa evaluación hay que hacerla y documentarla — el RGPD exige registrar internamente toda brecha, se notifique o no.

Si esto te suena a un segundo problema encima del primero, es exactamente lo que es. Por eso en Cardeseo unimos las dos cosas: el equipo técnico que limpia la web y el equipo jurídico de nuestro servicio de cumplimiento RGPD trabajan el mismo caso, evalúan si la brecha es notificable y presentan la notificación a la AEPD dentro de plazo. Que sepamos, nadie más en el mercado resuelve ambas partes en el mismo encargo.

Cuándo llamar a un profesional (y cuándo no)

Seamos honestos: no siempre nos necesitas.

Puedes intentarlo tú mismo si tu web es sencilla (un blog, una web corporativa sin tienda), tienes una copia de seguridad limpia anterior a la infección y fecha aproximada del hackeo, y te manejas con el panel del hosting. El camino: restaurar la copia limpia, actualizar inmediatamente WordPress, todos los plugins y el tema, eliminar los que no uses, cambiar todas las contraseñas otra vez y revisar los usuarios administradores. Con suerte y método, resuelto y gratis.

Llama a un profesional si se da cualquiera de estas condiciones:

  • No tienes copia limpia, o no sabes desde cuándo está infectada la web (restaurar una copia infectada es no restaurar nada).
  • Es una tienda online o maneja datos de clientes: ahí entra en juego el plazo legal de las 72 horas y no es momento de experimentos.
  • Ya la limpiaste una vez y ha recaído: hay backdoors que no encontraste, y no los encontrarás con las mismas herramientas.
  • El hosting te ha suspendido la cuenta o Google te ha marcado con el aviso rojo: ambos exigen una limpieza verificada para reactivarte.
  • Simplemente no puedes permitirte más días caído: un profesional resuelve en horas lo que a ti te llevaría un fin de semana largo.

Una recomendación al elegir a quién contratas, sea quien sea: desconfía de quien te dé precio sin haber mirado tu web, y de quien cobre por horas sin techo. Nuestro servicio de limpieza de WordPress hackeado funciona al revés: diagnóstico gratuito en 24 horas — qué está infectado y por dónde entraron, por escrito — y después un presupuesto cerrado antes de tocar nada. Si no lo aceptas, el diagnóstico se queda contigo y no nos debes nada.

Después de la limpieza: que no vuelva a pasar

La estadística incómoda: una web que ya ha sido hackeada y no cambia ningún hábito tiene muchas papeletas de repetir. La prevención no es sofisticada, es constancia:

  • Actualiza siempre. La inmensa mayoría de hackeos de WordPress entran por plugins y temas desactualizados con vulnerabilidades conocidas y publicadas. Actualizar la semana que se publica el parche cierra esa puerta.
  • Elimina lo que no usas. Cada plugin desactivado pero instalado es superficie de ataque gratuita.
  • Copias de seguridad diarias y automáticas, guardadas fuera del propio servidor. La diferencia entre un susto y una catástrofe es tener una copia de ayer.
  • Usuarios mínimos: cada administrador es una contraseña que puede caer. Dos administradores con verificación en dos pasos valen más que cinco sin ella.
  • Vigilancia: escaneo periódico de malware y monitorización de cambios en archivos, para enterarte el día uno y no el día cuarenta.

Todo esto puedes hacerlo tú si te comprometes a la disciplina de hacerlo cada semana, doce meses al año. Si prefieres que lo haga un equipo que vive de esto, nuestro mantenimiento WordPress cubre exactamente esa lista — actualizaciones probadas, copias diarias, escaneo de seguridad y soporte — desde 7,99€/mes y sin permanencia.

Preguntas frecuentes

¿Cuánto cuesta limpiar una web hackeada?

Depende de la profundidad de la infección, del tamaño de la web y de si hay que gestionar también la parte legal o la reactivación con Google y el hosting. Por eso desconfía de tarifas únicas publicadas sin ver tu caso. Lo razonable es lo contrario: diagnóstico primero (en nuestro caso, gratuito y en 24 horas) y presupuesto cerrado después, antes de empezar.

¿Puedo simplemente borrar la web y empezar de cero?

Puedes, pero pierdes contenido, posicionamiento y, sobre todo, la evidencia de lo ocurrido — que necesitas para la evaluación legal si la web manejaba datos personales. Además, si reinstalas con el mismo plugin vulnerable o la misma contraseña filtrada, el problema vuelve con la web nueva. Empezar de cero sin diagnóstico es repetir el error con más trabajo.

¿Cuánto tarda Google en quitar el aviso de "sitio engañoso"?

Una vez la web está limpia de verdad, se solicita la revisión desde Google Search Console. Google suele responder en uno a tres días, aunque puede tardar más si encuentra restos de malware — otra razón para que la limpieza sea completa a la primera. El tráfico perdido se recupera gradualmente después.

Mi web es solo un formulario de contacto. ¿También tengo que notificar a la AEPD?

Un formulario de contacto ya trata datos personales (nombre, email, teléfono, lo que escriban en el mensaje). Si la intrusión pudo acceder a esos datos, la evaluación de la brecha hay que hacerla igualmente, y documentarla aunque la conclusión sea que no procede notificar. La obligación de registrar internamente la brecha aplica en todo caso.

¿Un plugin de seguridad gratuito me protege lo suficiente?

Ayuda y conviene tenerlo, pero no sustituye lo fundamental: actualizar a tiempo, hacer copias diarias y eliminar lo que no usas. Los plugins de seguridad detectan malware conocido y bloquean ataques comunes, pero no actualizan tus plugins vulnerables por ti — y esa sigue siendo la puerta de entrada número uno.

Si estás en plena crisis, empieza por lo gratis

Resumen ejecutivo: confirma el hackeo, cambia todas las contraseñas, haz copia del estado actual sin borrar nada, pon la web en mantenimiento y evalúa la parte legal si manejas datos personales. Todo eso es gratis y puedes hacerlo hoy. Y si prefieres que lo mire un equipo que ha pasado por esto más de mil veces, pide el diagnóstico gratuito: en 24 horas sabrás qué está infectado, por dónde entraron y cuánto costaría arreglarlo — con presupuesto cerrado y sin ningún compromiso.

← Volver al blogCuéntanos tu caso →