Si tu sitio web ha sido hackeado, no entres en pánico. Existen pasos claros y efectivos para restaurarlo y reforzar su seguridad. En esta guía, te explicamos qué hacer para solucionar el problema y prevenir futuros ataques.
1. Identifica el problema
Antes de actuar, necesitas determinar la magnitud del ataque. Algunos signos comunes de que tu sitio ha sido comprometido incluyen:
- Redirecciones a sitios extraños
- Mensajes de advertencia de Google o navegadores
- Pérdida de acceso al panel de administración Puedes usar herramientas como Google Search Console y Sucuri SiteCheck para verificar si tu web ha sido infectada.
2. Pon tu sitio en modo mantenimiento
Para evitar que los visitantes sean afectados o que los hackers sigan explotando vulnerabilidades, activa el modo mantenimiento o pon tu sitio en «offline» temporalmente. Si usas WordPress, puedes hacerlo con plugins como «WP Maintenance Mode».
3. Cambia todas tus contraseñas
Modifica las credenciales de acceso de:
- WordPress (o el CMS que uses)
- Cuentas de hosting y cPanel
- FTP y bases de datos
Usa contraseñas seguras con combinaciones de letras, números y caracteres especiales.
4. Restaura una copia de seguridad
Si cuentas con un backup reciente antes del ataque, réstauralo. Puedes hacerlo desde tu proveedor de hosting o con plugins como «UpdraftPlus» o «BackupBuddy».
5. Elimina archivos maliciosos
Si no tienes un backup limpio, necesitarás eliminar el malware manualmente:
- Escanea tu web con plugins de seguridad como «Wordfence» o «MalCare»
- Revisa archivos sospechosos en tu servidor mediante FTP o el administrador de archivos de tu hosting
- Borra usuarios desconocidos en WordPress
6. Reinstala el núcleo de WordPress y los plugins
Si usas WordPress, descarga la última versión desde WordPress.org y sóbrelos archivos principales en tu servidor. Luego, reinstala tus plugins y temas desde fuentes oficiales.
7. Revisa la configuración de permisos
Verifica los permisos de archivos y carpetas en tu servidor. Para WordPress:
- Archivos: 644
- Carpetas: 755
- wp-config.php: 600
8. Elimina puertas traseras
Los hackers a menudo dejan «backdoors» para volver a entrar. Revisa archivos como functions.php, .htaccess y wp-config.php en busca de código sospechoso.
9. Solicita una revaluación en Google
Si tu web apareció en listas negras o muestra advertencias en los navegadores, usa Google Search Console para solicitar una revisión después de limpiarla.
10. Refuerza la seguridad de tu web
Para evitar futuros ataques:
- Instala un firewall como «Cloudflare» o «Sucuri»
- Mantén actualizado WordPress, plugins y temas
- Desactiva el editor de archivos en el dashboard (agregando
define('DISALLOW_FILE_EDIT', true);en wp-config.php) - Usa autenticación en dos pasos para WordPress
Conclusión
Un hackeo puede ser un problema grave, pero con una respuesta rápida y las medidas adecuadas, puedes restaurar tu sitio y evitar futuras amenazas. Si necesitas ayuda profesional para limpiar y proteger tu web, puedes contratar mi servicio de seguridad y eliminación de malware en WordPress en Fiverr.
