Imagina esto: intentas revisar tu sitio web de WordPress cuando, de repente, te redirigen a un sitio de apuestas sospechoso o a una página de productos farmacéuticos dudosa.
Tu corazón se hunde al darte cuenta de que tu sitio ha sido hackeado. 😱
Sabemos exactamente lo aterradora y frustrante que puede ser esta situación. Pero primero, respira hondo.
Tu sitio web se puede salvar, y estamos aquí para guiarte en cada paso del proceso de recuperación. Ya sea que tus visitantes vean redirecciones de spam o recibas la temida advertencia de Google de que “Este sitio puede haber sido hackeado”, te tenemos cubierto.
En este artículo, te mostraremos cómo evitar que WordPress redirija a sitios web de spam.
¿Por qué mi sitio de WordPress se redirige a spam?
Las redirecciones de spam ocurren cuando los hackers inyectan código malicioso en tu sitio de WordPress. Este código luego envía a los visitantes a sitios web no deseados llenos de anuncios, estafas de phishing o malware.
Los hackers pueden usar diferentes métodos para obtener acceso a tu sitio, incluyendo:
- Plugins y temas infectados: Los plugins y temas descargados de fuentes no autorizadas (temas y plugins de WordPress nulled) son una causa común de malware y redirecciones de spam.
- Contraseñas débiles: Los atacantes pueden adivinar o robar contraseñas de administrador débiles para tomar el control de tu sitio e insertar código malicioso que redirige a los usuarios a sitios de spam.
- Agujeros de seguridad sin parches: Si tu núcleo de WordPress, plugins o temas están desactualizados, los hackers pueden explotar vulnerabilidades conocidas para agregar código malicioso.
- Puertas traseras ocultas: Incluso después de eliminar el malware visible, los hackers a veces dejan puntos de acceso ocultos para reinfectar su sitio más tarde. Estos se llaman puertas traseras.
Muchos propietarios de sitios web no se dan cuenta de que su sitio ha sido hackeado hasta que los visitantes comienzan a quejarse o los motores de búsqueda emiten una advertencia.
Cuando tu sitio ha sido comprometido, el tiempo es esencial. Cada minuto que tu sitio web redirige a sitios de spam podría significar visitantes perdidos, reputación dañada y posibles penalizaciones de Google. Cuanto antes actúes, menor será el daño.
Dicho esto, hemos creado una guía completa paso a paso sobre cómo solucionar las redirecciones de sitios de spam en WordPress. Te guiaremos a través de cada parte del proceso de limpieza, explicando qué hacer y por qué es importante.
Paso 0: Crea un punto de restauración de copia de seguridad
Antes de comenzar cualquier reparación, asegúrate de tener una copia de seguridad reciente de tu sitio. Si algo sale mal, querrás tener un punto de restauración.
Recomendamos usar Duplicator, que respalda y restaura tu sitio web fácilmente. Lo usamos en nuestro negocio y ha sido un punto de inflexión para nuestras necesidades de respaldo seguro. Para más detalles, consulta nuestra reseña completa de Duplicator.
Nota: También hay disponible una versión gratuita de Duplicator. Puedes probarla, pero recomendamos actualizar a un plan de pago, que ofrece más funciones.
Ahora que has preparado tu sitio web para las reparaciones, comencemos a solucionar las redirecciones de spam.
Paso 1: Escanea tu sitio web en busca de malware
Piensa en el escaneo de malware como usar un detector de metales en la playa: te ayuda a encontrar amenazas ocultas enterradas en los archivos de tu sitio.
Nuestra experiencia demuestra que las redirecciones de spam a menudo se esconden en lugares inesperados, lo que hace que un escaneo exhaustivo sea esencial.
Por suerte, existen excelentes plugins de seguridad para WordPress disponibles que puedes usar para escanear tu sitio web.
Aquí te mostramos cómo realizar un escaneo de malware efectivo.
Primero, necesitas instalar un plugin de seguridad confiable (como Sucuri Security o Wordfence). Para este artículo, te mostraremos cómo realizar un escaneo en Wordfence, pero las instrucciones funcionan igual independientemente del plugin de seguridad que estés utilizando.
Primero, necesitarás instalar el plugin de seguridad de tu elección. Para más detalles, consulta nuestra guía sobre cómo instalar un plugin de WordPress.
Luego, en el menú del plugin, navega a la sección de Escaneo y realiza un escaneo completo del sitio. Puede tomar tiempo completar el escaneo dependiendo de la cantidad de datos y archivos que tengas almacenados.
Una vez que termine, verás los resultados del escaneo.
Revisa los resultados cuidadosamente y busca problemas graves, críticos y de otro tipo. Puedes hacer clic en un problema para ver sus detalles.
Aquí, la mayoría de los plugins de seguridad también te proporcionarán instrucciones sobre cómo solucionar ese problema.
Los escáneres de seguridad de WordPress son bastante buenos para detectar algunos de los malwares y hacks de redirección más notorios. Esperamos que puedan encontrar el código responsable de las redirecciones de spam.
💡 Consejo profesional: No confíes en un solo escáner. Diferentes herramientas de seguridad pueden detectar diferentes tipos de malware. Recomendamos usar al menos dos soluciones de escaneo diferentes.
Paso 2: Busca usuarios administradores sospechosos
Los hackers a menudo crean cuentas de administrador ocultas para mantener el acceso a tu sitio. Estas cuentas pueden tener nombres de usuario que parecen inofensivos o estar disfrazadas como cuentas del sistema.
Hemos visto casos en los que los hackers crearon una sola cuenta de usuario administrador ingeniosamente disfrazada. También hemos visto casos en los que el malware creó docenas de cuentas de administrador.
Simplemente sigue estos pasos para identificar y eliminar usuarios sospechosos.
Ve a la página Usuarios » Todos los usuarios en tu panel de administración de WordPress.
Aquí, necesitas buscar cuentas que no reconozcas. Estas podrían ser cuentas con números aleatorios, nombres de usuario extraños o cuentas que se hacen pasar por cuentas del sistema.
A continuación, es hora de eliminar cualquier cuenta sospechosa inmediatamente haciendo clic en 'Eliminar' debajo de esa cuenta.
⚠️ Advertencia: Algunos hackers nombran sus cuentas con roles comunes de WordPress como "admin_support" o "wp_maintenance". Sé extra vigilante con los nombres de usuario que parecen del sistema.
Una vez que hayas revisado y eliminado las cuentas de usuario sospechosas, puedes pasar al siguiente paso.
Paso 3: Reemplazar archivos de WordPress hackeados
Al igual que reemplazar un disco duro infectado por un virus por uno limpio, necesitamos restaurar versiones limpias de los archivos principales de WordPress.
No te preocupes, esto no afectará ninguno de tus contenidos, imágenes, temas o plugins del sitio web.
Aquí está nuestro proceso probado para el reemplazo seguro de archivos.
Primero, necesitas descargar una copia nueva de WordPress desde WordPress.org y descomprimir el archivo en tu computadora.
A continuación, conéctate a tu sitio usando un cliente FTP o la aplicación Administrador de Archivos en cPanel y navega a la carpeta raíz de WordPress.
Esta es la carpeta donde podrás ver las carpetas wp-admin, wp-includes y wp-content.
Ahora, procede a eliminar las carpetas existentes wp-admin y wp-includes.
Una vez que se eliminen, necesitas subir las versiones limpias desde tu computadora.
Después de reemplazar las carpetas principales, necesitas reemplazar todos los archivos principales en el directorio raíz. Esto incluye archivos como wp-activate.php, wp-blog-header.php, wp-comments-post.php, wp-config-sample.php, y más.
Cuando se le solicite, seleccione 'Sobrescribir' para reemplazar los archivos antiguos con la nueva versión.
A continuación, deberá descargar el archivo wp-config.php a su computadora como copia de seguridad y eliminar el archivo .htaccess de su carpeta raíz. No se preocupe, ya que WordPress regenerará automáticamente el archivo .htaccess por usted.
Ahora, tiene que renombrar el archivo wp-config-sample.php a wp-config.php y luego hacer clic derecho para 'Editar'. El archivo se abrirá en un editor de texto como el Bloc de notas o TextEdit.
Complete cuidadosamente los valores para la conexión de la base de datos. Puede ver el archivo wp-config.php antiguo que descargó en el paso anterior para averiguar su base de datos de WordPress, prefijo de tabla, nombre de usuario, contraseña y nombre de host.
Para más detalles, consulte nuestra guía sobre cómo editar el archivo wp-config.php.
Una vez que haya terminado de reemplazar los archivos principales antiguos con copias nuevas, no olvide visitar su sitio web y el panel de administración para asegurarse de que todo funcione como se espera.
Después de eso, puede pasar al siguiente paso.
Paso 4: Eliminar código malicioso de los archivos de temas y complementos
Una de las fuentes comunes de malware son los complementos y temas nulled. Estas son copias pirateadas de complementos y temas premium de WordPress descargados de fuentes no autorizadas.
A los hackers les encanta ocultar código malicioso en los archivos de temas y plugins. A menudo inyectan sus enlaces de spam y redirecciones en archivos legítimos, lo que dificulta su detección. Pero no te preocupes, te mostraremos exactamente qué buscar.
⚠️Advertencia: La mayoría de la configuración de temas y plugins de WordPress se almacena en la base de datos y permanecerá allí incluso si eliminas esos archivos. Sin embargo, a veces, puedes perder configuraciones o cambios personalizados que hiciste en esos archivos. En ese caso, deberás restaurar manualmente esos cambios.
Simplemente sigue este proceso para limpiar tus archivos de plugins y temas.
Primero, necesitas descargar copias nuevas de todos tus temas y plugins de fuentes confiables. Para temas y plugins gratuitos, la fuente confiable es el propio sitio web de WordPress.org. Para temas y plugins premium, querrás descargarlos de los sitios web oficiales.
Una vez que hayas descargado todos los plugins y archivos del tema, conéctate a tu sitio web usando un cliente FTP y navega a la carpeta wp-content.
Ahora, necesitas eliminar las carpetas themes y plugins de tu sitio web. Una vez eliminadas, crea nuevos directorios y nómbralos 'themes' y 'plugins'. Ahora tendrás carpetas themes y plugins vacías en tu sitio web.
Ahora puedes empezar a subir los archivos del tema y los plugins que descargaste anteriormente. Necesitarás descomprimir cada archivo descargado antes de poder subirlos a tu sitio web.
Una vez que hayas subido todos los archivos, ve a tu área de administración de WordPress en el navegador y activa el tema y los plugins que estabas usando antes. Si ves un error, es posible que necesites intentar subir ese archivo de tema o plugin en particular de nuevo.
Reemplazar los archivos del tema y los plugins con versiones más nuevas descargadas de fuentes auténticas los limpiará.
Esperamos que, para entonces, tu sitio web esté libre de redirecciones de spam. Sin embargo, para asegurar que tu sitio web permanezca seguro, necesitarás reforzar su seguridad.
Paso 6: Asegurar WordPress después de limpiar redirecciones de spam
La seguridad no es algo de una sola vez. En cambio, es un proceso continuo.
Ahora que has limpiado y arreglado las redirecciones de spam, el siguiente paso es asegurar que tu sitio web permanezca limpio en el futuro.
Para hacer eso, necesitas realizar algunos ajustes adicionales de seguridad en tu sitio web.
1. Cambia todas las contraseñas del sitio web
Las contraseñas juegan un papel importante en la seguridad de WordPress. Si crees que tu sitio web fue hackeado, entonces necesitas cambiar inmediatamente todas tus contraseñas relacionadas con tu sitio web.
Esto incluye lo siguiente:
- Todas las cuentas de usuario en tu sitio web de WordPress. Consulta nuestra guía sobre cómo cambiar las contraseñas de todos los usuarios en WordPress.
- Contraseñas de todas las cuentas FTP en tu sitio web. Puedes encontrar las cuentas FTP en el panel de control de tu hosting de WordPress y administrar sus contraseñas allí.
- Contraseñas para el nombre de usuario de tu base de datos de WordPress. Puedes encontrar los usuarios de MySQL en el panel de control de tu cuenta de hosting en la sección Base de datos. También debes actualizar la contraseña del nombre de usuario de la base de datos en tu archivo
wp-config.php. De lo contrario, tu sitio web comenzará a mostrar el error de conexión a la base de datos.
💡 Consejo Pro: Siempre usa contraseñas más seguras y una aplicación de administrador de contraseñas como 1Password para almacenar todas tus contraseñas.
2. Instala un plugin de seguridad y un firewall para WordPress
Ahora que hemos limpiado el hackeo, es hora de fortalecer tu sitio contra futuros ataques. Piensa en este paso como la instalación de un sistema de seguridad de alta tecnología para tu sitio de WordPress.
Aquí tienes nuestra configuración de seguridad recomendada:
- Instala un plugin de seguridad para WordPress como Sucuri o Wordfence (ambos tienen excelentes versiones gratuitas).
- Configura un firewall de WordPress que se ejecute en la nube. Recomendamos usar la CDN gratuita de Cloudflare, que bloquea automáticamente cualquier actividad sospechosa incluso antes de que llegue a tu sitio web.
Usamos Cloudflare en WPBeginner. Puedes leer sobre nuestra experiencia en nuestro estudio de caso sobre el cambio a Cloudflare.
La combinación de un plugin de seguridad de WordPress que se ejecuta en tu sitio web y un firewall basado en la nube fortalece la seguridad de tu WordPress a un nivel profesional. Es capaz de bloquear el malware más común, ataques DDoS y intentos de hackeo por fuerza bruta.
Consejos Adicionales: Previene Futuros Hackeos de WordPress
La mejor manera de lidiar con hackeos es prevenirlos desde el principio. Después de ayudar a innumerables usuarios a recuperar sus sitios, hemos desarrollado una estrategia de prevención sólida.
Puedes leerlos todos en nuestro manual completo de seguridad para WordPress. Es una configuración de seguridad paso a paso que usamos en todos nuestros sitios web, escrita específicamente para principiantes y pequeñas empresas.
Aquí están nuestras mejores prácticas de seguridad:
- Configura copias de seguridad automáticas de WordPress.
- Mantén actualizados el núcleo, los temas y los plugins de WordPress.
- Configura la autenticación de dos factores en WordPress.
- Limita los intentos de inicio de sesión para prevenir ataques de fuerza bruta.
Estos consejos son rápidos y fáciles de implementar. Te protegerán de futuros ataques maliciosos de redirección de URLs de spam.
Palabras Finales: Asegurando WordPress Contra Redirecciones de Spam y Malware
Lidiar con redirecciones de spam puede ser aterrador, pero ahora tienes todas las herramientas y conocimientos necesarios para arreglar tu sitio.
Recuerda, la seguridad no es una solución única, es un proceso continuo. Al usar los consejos de prevención que hemos compartido, estarás mucho mejor protegido contra futuros ataques. 💪
También te puede interesar leer nuestro artículo sobre cómo saber si un correo de seguridad de WordPress es real o falso o cómo asegurar WordPress multisitio.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.
Dara Eduok
Gracias.
Acabas de ayudarme a salvar mi sitio
Soporte de WPBeginner
¡Me alegra saber que nuestra guía pudo ayudar!
Administrador
Shamsudeen
Hola, WPBeginner,
Como bien dijiste, en el momento en que descubres que tu sitio ha sido hackeado, el tiempo es esencial. Cada segundo cuenta.
Por experiencia, lo mejor es buscar ayuda profesional si uno no es experto en tecnología o no está familiarizado con WordPress. Sin embargo, esto también depende de la gravedad del problema y del proveedor de hosting. Algunos proveedores de hosting, como Kinsta, ofrecen servicios gratuitos de eliminación de malware. Esto puede ser una ventaja y ahorrar costos en tales situaciones.
Gracias por compartir.