01
Aislamiento
Copia de seguridad completa del sitio infectado antes de cualquier acción. Sin modificaciones — preservamos ficheros, base de datos y logs para el análisis forense.
Compromiso WordPress · tratar inmediatamente
¿Tu sitio WordPress
¿Tu sitio WordPress
está hackeado?
Limpieza, endurecimiento y restauración de WordPress
Redirecciones sospechosas, malware, alerta de Google Search Console, wp-admin bloqueado… Diagnóstico en 30 min, limpieza completa, endurecimiento post-incidente, retirada de las alertas de Google.
✓ Experto WordPress · WooCommerce
✓ Limpieza en 1 día para el 80 % de los casos
✓ Garantía de 60 días
¿Alguna de estas señales? El sitio está comprometido.
Haz clic en la que coincide, nos ocupamos.
⚠️ Alerta de Google Search Console
"Este sitio puede dañar tu ordenador"
↗️ Redirecciones sospechosas
.ru / .top / casino / farma
🔍 Páginas parásitas en Google
Cialis, casino, loan en los resultados
🔒 wp-admin inaccesible
Credenciales correctas, conexión rechazada
📧 Spam enviado desde el servidor
El hosting lo señala, dominio en lista negra
⚡ Sitio repentinamente lento
CPU saturada, cryptominer oculto
⚡ Proceso
Del diagnóstico al sitio limpio, en 5 etapas
Limpiar un WordPress hackeado no es solo borrar un fichero sospechoso. Hay que peinarlo todo, si no el hackeo vuelve en menos de 48 h.
02
Escaneo profundo
Comparación fichero por fichero con las fuentes oficiales de WordPress: wp-includes, wp-admin, plugins, temas. Hashes MD5 confrontados con la versión de referencia.
03
Limpieza
Eliminación de malware, backdoors, webshells, ficheros parásitos. Auditoría de la base de datos: wp_options inyectados, wp_users comprometidos, cron jobs maliciosos.
04
Endurecimiento
Instalación de WAF (Wordfence o Cloudflare), 2FA obligatoria para admin, eliminación de plugins/temas nulled. Hardening de wp-config.php, permisos de ficheros.
05
Retirada de la alerta Google
Envío de la solicitud de revisión vía Google Search Console. Respuesta de Google en 24 a 72 h, después el aviso "Este sitio puede dañar…" desaparece.
🔧 Alcance técnico
Lo que limpio en concreto
WordPress es PHP + MySQL + un centenar de plugins. Un compromiso casi siempre toca varias capas.
Núcleo WordPress
core · plugins · temas- Comparación de wp-includes / wp-admin con las fuentes oficiales
- Plugins infectados o abandonados (TimThumb, Revolution Slider…)
- Temas nulled / piratas (causa nº 1 de los compromisos)
- Ficheros
.htaccessywp-config.phpcomprometidos
Backdoors
webshells · cron · eval()- Webshells PHP (c99, r57, b374k, mini shell)
- eval(base64_decode(…)) en wp-content, uploads
- Cron jobs WP maliciosos (
wp_schedule_event) - Cuentas admin añadidas en la base de datos (
wp_users)
Base de datos
wp_options · wp_posts · users- Auditoría de wp_options (inyección de scripts en
siteurl,home) - Posts de spam inyectados en masa
- Cuentas admin / editor añadidas
- Hooks WP maliciosos persistidos en la base de datos
Post-incidente
WAF · 2FA · monitorización- Instalación de Wordfence / Sucuri / Cloudflare WAF
- 2FA obligatoria para admin, eliminación de la cuenta admin por defecto
- Hardening de
wp-config.php, permisos de ficheros - Solicitud de revisión en Google Search Console
limpio y seguro, no solo una de las dos cosas
💰 Tarifas
Tarifas anunciadas por adelantado
El diagnóstico es gratuito. El coste de la limpieza depende de la profundidad de la infección identificada durante el diagnóstico.
🔍 Diagnóstico
Diagnóstico
saber qué está pasando
0€gratuito
30 min · sin compromiso
- Escaneo profundo del sitio
- Identificación de la brecha de origen
- Estimación de la limpieza con cifras
- Tú decides si continuamos
🛡️ El más solicitado
🧼 Limpieza
Limpieza completa
sitio limpio + endurecido
desde 180€sin IVA
según profundidad · precio anunciado por adelantado
- Copia de seguridad del sitio infectado antes de intervenir
- Eliminación de malware, backdoors, ficheros parásitos
- Auditoría de BD + limpieza de inyecciones
- WAF + endurecimiento post-incidente incluidos
- Solicitud de revisión en Google Search Console
- Garantía de 60 días contra la misma reinfección
🛡️ Mantenimiento
Mantenimiento preventivo
no volver a ser hackeado
desde 50€/ mes
vigilancia 24/7 · sin compromiso
- Escaneo de seguridad semanal
- Endurecimiento continuo (WAF, 2FA, wp-config)
- Copias de seguridad diarias externalizadas
- Vigilancia 24/7 + intervención si hay compromiso
💬 Opiniones de clientes
Fueron hackeados. Ya no.
Una mañana, mi sitio apareció marcado como "peligroso" en Google. En 24 h, mis ventas se hundieron. Estaba en pánico. Kellian me explicó con calma lo que había pasado, sin hacerme sentir culpable. 48 h después, la alerta se fue y mis ventas volvieron.
De un día para otro, ya no podía conectarme a mi propio sitio. Alguien había tomado el control y no sabía si mis clientes estaban expuestos. Todo se recuperó, sé cómo entraron y está asegurado. Por fin duermo.
Mi hosting cortó el sitio sin avisar, diciendo solo que había "algo raro" en el servidor. Llamé un sábado en plena desesperación. Todo se limpió ese mismo día. Ningún aviso del hosting desde hace 9 meses.
❓ FAQ
Las preguntas reales sobre el hackeo
Varias señales concretas: Google Search Console muestra una alerta de seguridad, tu sitio redirige a otra URL (a menudo un dominio
.ru / .top), aparecen páginas parásitas en Google con palabras clave extrañas (farmacia, casino…), tu antivirus bloquea tu propio sitio, tus clientes reciben spam en tu nombre, o wp-admin ya no se abre. Si aparece aunque sea una sola de estas señales, considera el sitio hackeado hasta que se demuestre lo contrario.Diagnóstico en 30 minutos. Limpieza entre 2 horas y 1 día según la profundidad de la infección. La mayoría de los sitios comprometidos se limpian dentro del mismo día. Para los casos más complejos (cron jobs maliciosos, múltiples backdoors, compromiso de la base de datos), cuenta con 24 a 48 horas con restauración desde una copia limpia.
Depende de la fecha de la intrusión y de la disponibilidad de una copia anterior sana. Si tienes una copia fiable previa al compromiso, la restauramos y después tapamos la brecha de origen. Si no, limpiamos manualmente: análisis de cada fichero modificado, comparación con las fuentes oficiales de WordPress, eliminación de inyecciones, auditoría de la base de datos (
wp_options, wp_users, wp_posts).Una vez limpiado y endurecido el sitio, enviamos una solicitud de revisión vía Google Search Console (sección Problemas de seguridad). Tiempo de respuesta de Google: 24 a 72 h. Mientras la solicitud no esté validada, el sitio sigue marcado — no envíes la solicitud hasta que la limpieza esté totalmente terminada, de lo contrario quemas tu crédito con Google.
Tres acciones concretas: 1) eliminar los plugins/temas nulled (cracks gratuitos), que son la causa número uno de los compromisos de WordPress, 2) instalar un WAF (Wordfence, Sucuri o Cloudflare por delante) y proteger los ficheros
wp-config.php, 3) contratar un mantenimiento con vigilancia 24/7 y hotfixes de seguridad aplicados en cuanto están disponibles. La prevención cuesta 10 veces menos que una limpieza.Posiblemente. Según el tipo de ataque (skimmer JavaScript, dump de la base de datos, acceso admin), los datos de tarjeta/email/dirección han podido fugarse. Bajo RGPD/LOPDGDD, dispones de 72 horas para notificar a la AEPD si se confirma una fuga de datos personales. Auditamos contigo el alcance real de la intrusión, documentamos el incidente y te acompañamos en la notificación a la AEPD si es necesario.
🔗 Temas relacionados
Otras incidencias que también trato
¿Tu sitio está comprometido ahora?
Cuanto más esperas, más bloquea Google tu dominio. Diagnóstico gratuito en 30 min, presupuesto en 24 h laborables, limpieza en el día para la mayoría de los casos.