Qué hacer si tu web ha sido hackeada: protocolo para PYMEs en España
Protocolo paso a paso de qué hacer en las primeras 24 horas si tu web ha sido hackeada: contención, limpieza, recuperación y prevención para que no vuelva a pasar.
Si tu web ha sido hackeada: 1) no la borres, 2) ponla en modo mantenimiento, 3) cambia todos los accesos, 4) restaura el último backup limpio, 5) escanea malware y parchea vulnerabilidades, 6) solicita revisión en Google Search Console. Sin mantenimiento previo, el proceso puede llevar de 2 a 10 días y la pérdida de tráfico orgánico llegar al 80 %.
Reducir el impacto de un hackeo web de semanas a horas y evitar la pérdida total de posicionamiento orgánico.
Que tu web sea hackeada no es cuestión de si pasará, es cuestión de cuándo. Especialmente en WordPress, los ataques automatizados son constantes: bots escanean miles de sitios al día buscando plugins o temas con vulnerabilidades conocidas. Esta guía es el protocolo que aplicamos en Vibra cuando un cliente nos llama porque 'algo raro pasa con la web'.
Cómo saber si tu web ha sido hackeada
Señales típicas:
- Google muestra un aviso 'Este sitio puede dañar tu equipo' en los resultados.
- Aparece código o texto extraño en las páginas (a veces solo visible en código fuente).
- Se han creado páginas que tú no creaste, normalmente con texto en otros idiomas o palabras clave de spam (farmacia, casinos, etc.).
- El tráfico orgánico cae bruscamente sin causa aparente.
- Tus visitantes son redirigidos a otra web al hacer clic desde Google.
- Tu hosting te avisa de uso anómalo de CPU o envío masivo de emails.
- Aparecen administradores nuevos en WordPress que no creaste.
- Tu antivirus o el navegador bloquea tu propia web.
Protocolo en las primeras 24 h
Lo que NO debes hacer: borrar la web entera 'por miedo', empezar a tocar archivos sin saber qué buscas, instalar 10 plugins de seguridad a la vez, o ignorar el problema esperando que se arregle solo.
Lo que sí, en este orden:
- Confirmar el hackeo. Escanea la web con Sucuri SiteCheck, Wordfence o herramienta similar.
- Modo mantenimiento. Pon la web en mantenimiento para frenar el impacto sobre usuarios y SEO.
- Backup del estado actual. Antes de tocar nada, descarga un backup del estado infectado (sirve para forense y para no perder contenido legítimo creado después del último backup limpio).
- Cambia TODOS los accesos: WordPress, FTP/SFTP, panel de hosting, base de datos, email del administrador, Google Workspace, Google Search Console, Analytics, todo. Activa 2FA en cuanto puedas.
- Revisa usuarios: elimina cualquier usuario administrador no reconocido.
- Revisa tareas programadas (cron) y archivos modificados recientemente.
- Restaura el último backup limpio, idealmente anterior a la fecha sospechosa de infección.
Limpieza técnica
Después de restaurar:
- Actualiza WordPress, todos los plugins y el tema a la última versión.
- Elimina plugins y temas inactivos (incluso desactivados, son vectores de ataque).
- Escanea malware con Wordfence, Sucuri o MalCare. Limpia o reemplaza archivos infectados.
- Revisa wp-config.php, .htaccess y archivos del tema en busca de código extraño.
- Cambia las claves secretas de WordPress (
AUTH_KEY, etc.). - Reinstala el core de WordPress desde wp-admin o subiendo los archivos manualmente.
- Si usas WooCommerce o pasarelas de pago, revisa pedidos y logs durante el periodo de infección.
Si no tienes perfil técnico, esto es exactamente cuando tiene sentido llamar a un especialista. Hacerlo a medias suele dejar puertas traseras y el hackeo vuelve en días.
Recuperar SEO y reputación
Una vez la web está limpia:
- Google Search Console: en la sección 'Problemas de seguridad', solicita una revisión explicando qué ocurrió y qué medidas se han tomado. Google suele responder en 24-72 h.
- Reindexa las páginas principales manualmente.
- Revisa enlaces salientes generados por el hackeo (a webs de spam) y elimínalos.
- Comprueba los resultados de tu marca en Google las siguientes semanas: si todavía aparecen títulos o descripciones de spam, espera al recrawl o solicita eliminación urgente.
- Comunica a tus clientes si hubo riesgo real para sus datos (es obligatorio por RGPD si hubo brecha de datos personales).
Cómo evitar que vuelva a pasar
- Backups diarios externos con 30-60 días de retención (no solo en el hosting).
- Actualizaciones controladas semanales o quincenales, con backup previo.
- Plugin de seguridad (Wordfence, Solid Security, etc.) configurado correctamente.
- 2FA obligatorio en todos los usuarios administradores.
- Limita los intentos de login y cambia la URL de acceso a wp-admin.
- Hosting con WAF (firewall de aplicación web) o servicio tipo Cloudflare delante.
- Auditoría trimestral de plugins, temas y usuarios.
- Plan de mantenimiento web profesional: que alguien con criterio mire la web cada semana en lugar de 'cuando algo falle'.
La mayoría de hackeos no son ataques dirigidos: son consecuencia de no actualizar a tiempo. Un mantenimiento web serio reduce el riesgo en un 90 %.
Si tu web ha sido hackeada o quieres prevenirlo, contáctanos.
Preguntas frecuentes
¿Cuánto cuesta limpiar una web hackeada?+
Una limpieza de urgencia profesional en España suele costar entre 250 y 1.500 € según el alcance (WordPress estándar vs WooCommerce con muchos pedidos, número de archivos afectados, etc.). Si ya tienes mantenimiento contratado, normalmente está incluido o cubierto en gran parte.
¿Puedo limpiar la web yo mismo?+
Si tienes perfil técnico, sí: restauración de backup limpio + actualización + cambio de accesos + escaneo. Si no, es muy fácil dejar puertas traseras sin querer. En esos casos compensa pagar a un especialista para evitar que vuelva a pasar la semana siguiente.
¿Cuánto tarda Google en quitar el aviso 'sitio peligroso'?+
Tras limpiar la web y solicitar revisión en Search Console, Google suele retirar el aviso en 24-72 horas. Lo que tarda más es recuperar posiciones perdidas: entre 2 y 8 semanas según gravedad y duración del hackeo.