Han hackeado mi sitio web, ¿qué hago?

Has descubierto que tu sitio web ha sido hackeado. Quizá Google mostró el aviso "Este sitio puede dañar tu ordenador", quizá los visitantes son redirigidos a una página extraña, o has notado archivos desconocidos en el servidor. Sea como sea que lo descubrieras, el pánico es comprensible, pero es importante reaccionar con rapidez y método. Esta guía te lleva por cada paso, desde la detección hasta la recuperación completa y la prevención de futuros ataques.

¿Cómo reconocer que un sitio ha sido hackeado?

Hay varias señales de un hackeo. Un aviso de Google en la búsqueda ("Este sitio puede ser peligroso") es la señal más evidente. Que los visitantes sean redirigidos a otros sitios (normalmente a páginas de apuestas o farmacéuticas) es una consecuencia habitual de un hackeo. Contenido desconocido en el sitio: páginas de spam, enlaces a sitios sospechosos o un aspecto modificado. Una carga del sitio considerablemente más lenta puede indicar minado de criptomonedas (cryptojacking). Usuarios desconocidos en el panel de administración de WordPress. Archivos sospechosos en el servidor con nombres extraños. Un correo de tu proveedor de hosting sobre actividad sospechosa. Una caída en el posicionamiento de Google sin razón aparente.

Paso 1: No entres en pánico, pero actúa de inmediato

Lo primero y más importante: no borres nada ni cambies contraseñas en el sitio hackeado antes de aislarlo. El hacker puede seguir teniendo acceso y ver cada acción que realices. En su lugar, anota todo lo que observes: qué páginas están afectadas, cuándo notaste el problema por primera vez, si recibiste alguna notificación. Esta información será útil para el análisis y la limpieza.

Paso 2: Pon el sitio en modo mantenimiento

Pon el sitio fuera de línea para proteger a los visitantes del malware y evitar más daños. En cPanel puedes renombrar la carpeta public_html o configurar una página de mantenimiento. Si usas WordPress, puedes crear un archivo .maintenance en la carpeta raíz. En BeoHosting, contacta con soporte y te ayudaremos a aislar el sitio rápidamente sin pérdida de datos. Es importante que el sitio esté inaccesible hasta que esté limpio: Google seguirá marcándolo como peligroso mientras exista el malware.

Paso 3: Cambia todas las contraseñas desde otro dispositivo

Desde OTRO dispositivo (no el ordenador que usaste para acceder al sitio, ya que puede estar comprometido), cambia las siguientes contraseñas: acceso a cPanel, cuentas FTP, claves SSH, base de datos (usuario MySQL), cuenta de administrador de WordPress, cuentas de correo del dominio y la cuenta de hosting. Usa contraseñas fuertes y únicas para cada cuenta: al menos 16 caracteres con una mezcla de letras, números y caracteres especiales. Usa un gestor de contraseñas para almacenarlas.

Paso 4: Haz una copia de seguridad del sitio hackeado

Antes de cualquier limpieza, haz una copia de seguridad completa del sitio hackeado: archivos Y base de datos. Suena contradictorio, pero esta copia es para el análisis forense. Puedes usarla para identificar cómo entró el hacker, qué archivos modificó y si dejó una puerta trasera (backdoor). BeoHosting guarda automáticamente copias de seguridad diarias de hasta 120 días atrás, lo que significa que casi con toda seguridad dispones de una versión limpia del sitio anterior al hackeo.

Paso 5: Escanea el sitio en busca de malware

Usa herramientas especializadas de escaneo de malware. Para WordPress, Wordfence (plugin gratuito) es una excelente opción: instálalo en una instalación limpia de WordPress y escanea todos los archivos. Sucuri SiteCheck (herramienta online) puede escanear el sitio externamente sin necesidad de instalación. ImunifyAV en el servidor (disponible en BeoHosting) escanea todos los archivos de la cuenta de hosting. La revisión manual también es importante: busca archivos con nombres extraños, código PHP codificado en base64 y archivos modificados en el momento del hackeo.

Paso 6: Limpia el malware

Hay dos enfoques de limpieza: la limpieza manual y la restauración desde una copia de seguridad. La restauración desde una copia es el enfoque más rápido y fiable. Encuentra la última copia anterior al hackeo (comprueba las fechas de modificación de los archivos sospechosos para determinar cuándo empezó el hackeo). En BeoHosting, puedes restaurar cualquier copia de seguridad de los últimos 120 días a través de cPanel o contactando con soporte.

Para la limpieza manual: elimina todos los archivos desconocidos, especialmente los archivos PHP en las carpetas de subida (upload), los archivos con las funciones base64_decode, eval o gzinflate, y los archivos con nombres como "wp-config-sample.php.bak" o "about.php" en ubicaciones inesperadas. Comprueba el archivo .htaccess en busca de reglas de redirección desconocidas. Comprueba wp-config.php en busca de código desconocido al principio o al final del archivo. Revisa la base de datos en busca de usuarios administradores desconocidos y contenido sospechoso en las entradas.

Paso 7: Actualízalo todo

Después de la limpieza, actualiza absolutamente todo: el núcleo de WordPress a la última versión, todos los plugins (elimina los que no uses), el tema (elimina los temas inactivos), la versión de PHP a la última estable (8.3 o 8.4). El software desactualizado es la causa número uno de los hackeos de sitios WordPress. Más del 50 % de los sitios hackeados usaban plugins desactualizados con vulnerabilidades conocidas.

Paso 8: Refuerza la seguridad

Implementa las siguientes medidas para prevenir futuros ataques. Instala un plugin de seguridad (Wordfence o Sucuri). Activa la autenticación de dos factores (2FA) para todas las cuentas de administrador. Cambia el prefijo de la base de datos de WordPress si se usa el predeterminado "wp_". Desactiva la ejecución de PHP en la carpeta wp-content/uploads. Limita los intentos de inicio de sesión. Oculta la página de acceso wp-admin. Establece los permisos de archivo adecuados (644 para archivos, 755 para carpetas, 600 para wp-config.php). Activa un certificado SSL si aún no está activo.

Paso 9: Solicita una revisión a Google

Si Google ha marcado tu sitio como peligroso, debes solicitar una revisión tras la limpieza. Inicia sesión en Google Search Console, ve a la sección "Problemas de seguridad" y haz clic en "Solicitar revisión". Describe lo que hiciste para limpiar el sitio y qué medidas tomaste para prevenir futuros ataques. Google suele revisar la solicitud en un plazo de 72 horas. Mientras la revisión está en curso, tu sitio seguirá marcado como peligroso en la búsqueda.

Paso 10: Monitorización y prevención

Tras la recuperación, configura un sistema de monitorización. Configura alertas para los cambios de archivos en el servidor (file integrity monitoring). Escanea el sitio en busca de malware con regularidad (semanalmente). Monitoriza los registros de acceso en busca de actividad sospechosa. Configura copias de seguridad automáticas (BeoHosting realiza copias diarias). Vigila Google Search Console en busca de avisos de seguridad. Actualiza con regularidad todos los componentes del sitio. Considera usar un WAF (Web Application Firewall) para una protección adicional.

Formas más comunes en que se hackean los sitios

Comprender cómo entran los hackers ayuda a la prevención. Los plugins desactualizados con vulnerabilidades conocidas son la causa en más del 50 % de los casos. Las contraseñas débiles (ataques de fuerza bruta) son la segunda causa más común. Los temas desactualizados con vulnerabilidades en el código. El acceso FTP inseguro sin cifrado. El cross-site scripting (XSS) a través de formularios y comentarios. La inyección SQL a través de plugins inseguros. Los ataques de phishing a los administradores del sitio que revelan sus contraseñas. Las vulnerabilidades de inclusión de archivos (file inclusion) en código PHP defectuoso.

Prevención: Lista de verificación de seguridad

Usa esta lista como comprobación mensual de la seguridad de tu sitio. ¿Están todos los plugins actualizados a las últimas versiones? ¿Está actualizado el núcleo de WordPress? ¿Son todas las contraseñas fuertes y únicas? ¿Está activado el 2FA para las cuentas de administrador? ¿Funciona el plugin de seguridad y escanea con regularidad? ¿Funcionan las copias de seguridad (prueba a restaurar al menos una vez por trimestre)? ¿Se han eliminado los plugins y temas no utilizados? ¿Está actualizada la versión de PHP? ¿Son correctos los permisos de archivo? ¿Es válido el certificado SSL?

¿Cuándo llamar a un profesional?

Si el hackeo es grave (ransomware, base de datos comprometida, varios sitios afectados en la misma cuenta), recomendamos contratar a un profesional de seguridad. BeoHosting ofrece asistencia de limpieza gratuita para los clientes con planes de empresa, incluyendo análisis forense, limpieza manual de malware e implementación de medidas de seguridad. Para los planes más pequeños, nuestro equipo de soporte puede ayudar con los pasos básicos de recuperación.

Conclusión

El hackeo de un sitio es una experiencia estresante, pero con el enfoque adecuado puede resolverse en pocas horas. La clave es actuar con rapidez, seguir los pasos de forma metódica y, tras la recuperación, implementar medidas de prevención para que no vuelva a ocurrir. En BeoHosting, la combinación de copias de seguridad diarias (120 días), escaneo con ImunifyAV, el WAF ModSecurity y nuestro equipo de soporte ofrece una protección multicapa para tu sitio. Lee nuestra guía completa de seguridad de sitios web. Si sospechas que tu sitio ha sido hackeado, contacta de inmediato con nuestro soporte: una respuesta rápida es fundamental.