Síntomas de que tu WordPress ha sido hackeado

1. Señales visuales en tu web

Los primeros signos de un hackeo suelen ser visibles directamente en el front-end del sitio. Presta atención a estos síntomas:

• Pantalla blanca o error 500 sin explicación aparente.
• Errores HTTP frecuentes, como:
  • 502 Bad Gateway o 503 Service Unavailable, que pueden indicar sobrecarga o manipulación del servidor.
  • 401 Unauthorized, 403 Forbidden o Conexión rechazada por el servidor, que pueden deberse a bloqueos o cambios en permisos tras un ataque.
• Enlaces sospechosos añadidos a textos o imágenes que tú no has insertado.
• Contenido modificado sin tu intervención (textos cambiados, contenido promocional, títulos extraños o mensajes en otros idiomas).
• Anuncios o banners que no has configurado tú, incluso anuncios de AdSense o publicidad de terceros.
• Caída brusca de tráfico en tu herramienta de analítica web.
• Pop-ups que no has creado o con contenido ajeno a tu sitio.
• Redirecciones desde tu sitio hacia otros portales, normalmente de baja reputación, con contenido fraudulento o para adultos.

2. Comportamiento extraño en el panel de administración

Los accesos no autorizados suelen dejar señales dentro del área de administración:

• Imposibilidad de acceder al login o credenciales que dejan de funcionar sin motivo.
• Contraseñas de usuarios modificadas sin previo aviso.
• Nuevos usuarios (incluso administradores) que tú no has creado. normalmente puedes revisar los perfiles activos desde Usuarios de WordPress, aunque no será siempre así, ya que algunos virus pueden crear usuarios ocultos que no aparecerán en esa sección.
• Plugins o temas instalados sin tu consentimiento. Estos plugins maliciosos pueden ser visibles en la sección «Plugins» de WP Admin o, lo que es más peligroso, estar ocultos y no mostrarse en el listado. Por ello, es esencial acceder por FTP o al administrador de archivos de tu hosting para cerciorarse de que no hay archivos o carpetas nuevas o desconocidas que no hayas instalado tú.
• Archivos desconocidos dentro de tu instalación, especialmente en /wp-content/ o /uploads/. El malware a menudo inyecta archivos con nombres genéricos (como config.php, cache.php o carpetas como wp-tmp) en lugares clave para pasar desapercibido. Por ejemplo, en /wp-content/uploads/ (donde solo deberían ir imágenes y medios), puedes encontrar archivos .php o .js maliciosos que permiten al atacante seguir accediendo a tu sitio. Un archivo modificado también puede ser el crucial wp-config.php, que contiene las credenciales de la base de datos.
• Crons sospechosos o no conocidos, configurados para ejecutar scripts automáticos.
• Los correos que envía la web dejan de llegar porque el malware ha usado tu servidor para enviar spam y tu dominio ha sido incluido en una blacklist. Encontrarás más información sobre este tema en nuestro post qué es una blacklist.

3. Alertas técnicas y de rendimiento

En ocasiones el hackeo afecta directamente al rendimiento de tu hosting o del panel de control:

• Caídas frecuentes del servidor sin causa aparente. Esto suele ocurrir porque el malware está ejecutando procesos muy pesados en segundo plano (como ataques de fuerza bruta, envíos masivos de spam o generación de contenido fraudulento). Estos procesos agotan rápidamente los recursos asignados a tu cuenta de hosting, provocando que el servidor se caiga o reinicie constantemente.
• Lentitud inusual en la carga de las páginas o en el panel de administración (wp-admin). La lentitud es una señal directa de que la RAM y la CPU se están saturando. El malware (especialmente los scripts de spam o los de phishing) consume una enorme cantidad de recursos. Al ejecutar peticiones constantes o scripts maliciosos, el virus obliga al servidor a trabajar al límite, lo que ralentiza drásticamente la respuesta del sitio y del panel de administración.
• Alertas de tu proveedor de hosting o de Google Search Console, como el aviso “Este sitio puede estar comprometido”. Google Search Console muestra esta advertencia si sus crawlers han detectado contenido malicioso o patrones de spam en tu sitio. Esto pasa porque el atacante ha inyectado código para redirigir a usuarios o ha creado páginas ocultas de spam que Google ha indexado, clasificando inmediatamente tu dominio como peligroso o comprometido. Algunos Hostings españoles bloquean la ejecución de archivos en tu sitio web y te notifican por correo para que resuelvas la incidencia. No debes pasar por alto los correos que te envía tu hosting.

4. Señales externas

• Usuarios que informan de comportamientos extraños al visitar tu web. En webs estáticas pueden llegar a ser los primeros en detectar el problema al navegar. No subestimes un mensaje de crítica hacia tu web, te puede estar indicando (sin saberlo, que tu web ha sido comprometida). Por ejemplo, un cliente potencial nos llamó diciendo que creía que había «tocado algo sin querer» que había provocado que en su web aparecieran anuncios. Esta persona no lo encontró por su cuenta, si no que se lo había dicho un cliente suyo al negar por su web. La realidad es que  esta empresa tenia un virus en su web, que añadía anuncios de Google AdSense mediante archivos ocultos en la carpeta /wp-content/, y que estos anuncios no se cargan si navegabas logueado en WordPress, por tanto, el propietario no podía verlos (siempre navegaba logueado). Fue gracias al comentario de un cliente y que nos contrató para revisar que estaba fallando en su web que pudo eliminar el virus.
• Navegadores que muestran advertencias de seguridad o bloquean el acceso al sitio. Los navegadores modernos (como Chrome o Firefox) usan bases de datos de seguridad (como Google Safe Browsing). Si tu sitio ha sido reportado por phishing, distribución de malware o contenido peligroso, el navegador muestra una página de advertencia roja (Ejemplo: «Sitio engañoso por delante» o «El sitio que está a punto de visitar contiene malware«), impidiendo que el usuario acceda directamente.
• Bloqueo de tu web al compartir enlaces en redes sociales o plataformas de mensajería. Plataformas como Facebook, X (Twitter) o WhatsApp también utilizan sistemas internos y bases de datos de seguridad. Si intentas compartir un enlace de tu web y la plataforma te lo bloquea con un mensaje de «contenido malicioso» o «spam», significa que tu URL ha sido catalogada como peligrosa debido a la actividad malware o spam que se está generando desde ella.

5. Qué hacer si detectas alguno de estos síntomas

Si crees que tu web ha sido hackeada, ¡actúa cuanto antes! Cada minuto cuenta para evitar un daño mayor a tu reputación y posicionamiento.

• Cambia todas las contraseñas (WordPress, FTP, base de datos y hosting). Este es el primer paso vital para expulsar al atacante. Asegúrate de usar contraseñas fuertes y únicas (más de 12 caracteres, con mayúsculas, minúsculas, números y símbolos).
• Pon tu web en modo mantenimiento temporal mientras investigas el problema. Usa un plugin de modo mantenimiento o edita el archivo .htaccess para bloquear el acceso público y evitar que Google o tus usuarios vean el contenido hackeado o sean infectados.
• Revisa usuarios, plugins y archivos en busca de cambios recientes o elementos desconocidos. Examina la lista de usuarios y elimina cualquier perfil extraño. Compara las carpetas de tu instalación (especialmente /wp-content/) con una copia limpia y reciente para identificar archivos inyectados o modificados.
• Escanea tu instalación con herramientas de seguridad como Wordfence o Sucuri (cuidado con el uso de este tipo de herramientas, puede llegar a ralentizar mucho tu sitio web). Utiliza sus escáneres de malware para identificar archivos infectados y obtener un informe inicial. No confíes ciegamente en ellas; a menudo el malware está «oculto» y solo una revisión manual exhaustiva lo detecta.
• Contacta con tu proveedor de hosting para aislar el problema y evitar que se propague. El hosting puede ayudarte a suspender temporalmente el sitio (para evitar el consumo masivo de recursos) y a revisar los registros del servidor (logs) para rastrear la fuente de la intrusión.
• Recupera una copia de seguridad antigua si no logras eliminar el malware. Asegúrate de que la copia de seguridad que usas sea de una fecha anterior al momento del hackeo. Esto puede ser la solución más rápida, pero debes asegurar primero el vector de ataque (ej. actualizar un plugin vulnerable) para que no te hackeen de nuevo inmediatamente.
• Contrata una limpieza profesional con una empresa especialista en mantenimiento WordPress para asegurar que el sitio quede libre de virus. Los especialistas pueden detectar y eliminar malware complejo, backdoors ocultas y vulnerabilidades, garantizando una limpieza completa y aplicando medidas preventivas.

Si crees que tu web ha sido hackeada, actúa cuanto antes:

• Cambia todas las contraseñas (WordPress, FTP, base de datos y hosting).
• Pon tu web en modo mantenimiento temporal mientras investigas el problema.
• Revisa usuarios, plugins y archivos en busca de cambios recientes o elementos desconocidos.
• Escanea tu instalación con herramientas de seguridad como Wordfence o Sucuri (cuidado con el uso de este tipo de herramientas, puede llegar a ralentizar mucho tu sitio web).
• Contacta con tu proveedor de hosting para aislar el problema y evitar que se propague.
• Recupera una copia de seguridad antigua si no logras eliminar el malware.
• Contrata una limpieza profesional con una empresa especialista en mantenimiento WordPress para asegurar que el sitio quede libre de virus.

6. Cómo prevenir futuros hackeos

La prevención es la mejor defensa. Mantén WordPress y tus plugins actualizados, usa contraseñas seguras, activa la verificación en dos pasos y limita los intentos de acceso (ver cómo limitar intentos de login en WordPress).

Para una guía completa con todas las medidas de seguridad recomendadas, visita nuestra Guía de Seguridad WordPress.

Conclusión

Detectar los síntomas de un hackeo a tiempo puede salvar tu web, tu reputación y tu posicionamiento. Revisa periódicamente tu sitio, realiza copias de seguridad y mantén tu web actualizada para garantizar la confianza de tus usuarios.