WordPress es una plataforma potente y versátil. Pero como cualquier sistema popular, también es un blanco frecuente para ataques. Tener un sitio web infectado con malware no solo pone en riesgo tu negocio o proyecto, también expone a tus visitantes a amenazas graves.
En este tutorial, aprenderás a detectar si tu sitio está infectado, cómo limpiarlo paso a paso y qué hacer para protegerlo en el futuro. Y sobre todo: por qué no debes ignorar nunca una señal de alarma.
¿Por qué es peligroso tener malware en tu web?
Un sitio infectado puede:
- Robar información de tus usuarios.
- Mostrar publicidad o contenido inapropiado.
- Redirigir a tus visitantes a webs peligrosas.
- Usarse para enviar spam.
Además puede ser penalizado por Google o bloqueado por navegadores. También puedes enfrentarte a responsabilidades legales si se demuestra que el malware ha afectado a clientes o visitantes.
Síntomas comunes de una web infectada
Aunque no siempre son visibles, hay algunas pistas claras:
- Tu web va muy lenta sin razón.
- Se crean archivos o usuarios extraños.
- Aparecen pop-ups o enlaces que no has puesto.
- Tu proveedor de hosting te avisa de actividad sospechosa.
- Al entrar, algunos navegadores muestran una advertencia. Puede que la infección solo afecte a usuarios Android usando Chrome por ejemplo
La clave está en la vigilancia constante y en actuar a tiempo.
Primer paso: haz una copia de seguridad (y por qué es vital)
Antes de tocar nada, haz una copia completa de tu sitio: archivos y base de datos. Insistimos: no empieces a limpiar sin backup.
Porque si algo va mal, podrás pedir ayuda profesional y recuperar el punto de partida. Una web con error o en mantenimiento es mucho mejor que una web infectada y operativa causando daño.
Herramientas recomendadas:
- UpdraftPlus
- Duplicator
- All-in-One WP Migration
O también puedes hacerlo desde tu panel de hosting (con cPanel, Plesk o similares).
Lo importante es tener todos los archivos y la base de datos.
Escaneo automático de malware
Instala y ejecuta un escáner de seguridad. Algunos de los más fiables son:
- Wordfence Security
- Sucuri Security
- MalCare
Estos plugins revisan los archivos y el comportamiento de tu web en busca de patrones sospechosos. También algunos hosting ofrecen escaneos desde el panel de control con herramientas como ImunifyAV
Revisión manual de plugins y archivos sospechosos
Revisa archivos .htaccess que no deberían estar. A veces son legítimos y los crean los plugins de seguridad o el hosting, pero no pasa nada si borras todos. Recuerda, tienes un backup ;-). El de raíz lo puedes volver a generar cuando tengas el sitio limpio desde Ajustes / Enlaces Permanentes
Revisa plugins extraños. No se van a llamar Soy Malware y tendrán nombres parecidos a los plugins legítimos. Ante la duda, revisa uno a uno usando el administrador de archivos de tu hosting o por FTP. Los plugins truchos suelen tener poco contenido. Un archivo php y poco más
Revisa también la carpeta mu-plugins. Allí hay código que se ejecuta siempre a modo de plugins (Must Used Plugins) pero que puede contener malware
Revisión de la base de datos
El malware no solo se esconde en archivos. También puede insertarse directamente en la base de datos:
- Inyecciones en tablas
wp_options,wp_postsowp_users - Código malicioso en campos de contenido o encabezados
- Cargas automáticas desde URLs externas
Puedes buscar términos como <script>, eval(, base64_ o URLs desconocidas en la base de datos.
Para este paso, se recomienda usar phpMyAdmin, Adminer o un plugin avanzado como WP phpMyAdmin.
Limpieza manual del malware
Si el escaneo detecta algo, puedes:
- Eliminar o reemplazar los archivos infectados.
- Revisar y borrar cualquier usuario sospechoso.
- Comprobar funciones extrañas en tu tema o plugins. (revisa el functions.php del theme y el child theme)
- Reinstalar WordPress desde cero (guardando tu contenido y config).
Y no olvides estos puntos clave:
- La carpeta
/wp-contentcontiene tus temas, plugins y subidas. Es lo más valioso. - El archivo
wp-config.phptiene tu conexión con la base de datos. - Revisa todo lo que tengas en la raíz del hosting: archivos
.phpsueltos,.htaccess, firmas DKIM, redirecciones SMTP, etc.
Tip útil: desactiva todos los plugins sin entrar al panel
A veces no puedes acceder a WordPress porque un plugin da error. Aquí va un truco práctico:
- Entra por FTP o desde el gestor de archivos del hosting.
- Ve a la carpeta
wp-content/plugins - Renombra esa carpeta (por ejemplo, a
plugins-desactivados) - Entra ahora en el administrador de tu WordPress y ve a Plugins
- Veras que te da un mensaje de error
- Pon de nuevo el nombre correcto a la carpeta plugins
- Vuelve al administrador de tu WordPress y actualiza los plugins. Estarán todos desactivados
Así, WordPress no podrá cargar los plugins, y podrás acceder. Luego puedes ir activándolos uno a uno (o volver a nombrar la carpeta correctamente).
Refuerza la seguridad después de limpiar
Una vez limpio, toca proteger:
- Cambia todas las contraseñas.
- Cierra todas las sesiones y cambia las las claves secretas del archivo wp-config.php (Este artículo de Fernando Tellado te explica que son las Salt Keys y como cambiarlas)
- Borra plugins y temas que no uses.
- Activa doble autenticación.
- Mantén WordPress y extensiones siempre actualizadas.
- Usa plugins como iThemes Security o WP Cerber.
- Revisa los permisos de archivo (644 para archivos, 755 para carpetas).
Y si puedes, pon un firewall a nivel de servidor.
Conclusión: más vale prevenir que curar
No esperes a que tu web caiga para actuar. Tener buenas prácticas desde el principio te ahorrará tiempo, dinero y disgustos.
Si no estás seguro, es mejor dejar la web en mantenimiento temporalmente o incluso mostrar un error intencionado que seguir online con malware.
Y si tienes dudas o prefieres que lo haga un profesional, en Delegar.es te ayudamos a dejar tu sitio limpio, seguro y funcionando sin riesgos.
Limpieza de Malware en WordPress
Eliminación y protección contra malware en tu sitio WordPress, manteniendo tus datos seguros y tu web operativa.