¿Tu WordPress hackeado tras el apagón en Valle de Oca? Aquí lo limpiamos, lo blindamos y lo lanzamos otra vez

Hackeos WordPress

¿Tu WordPress hackeado tras el apagón en Valle de Oca? Aquí lo limpiamos, lo blindamos y lo lanzamos otra vez

Apagón, reinicio forzado, y de pronto tu web WordPress empieza a redirigir a sitios chungos, se llena de anuncios raros o directamente no carga. En Valle de Oca ha pasado, y más de uno ya nos ha llamado con cara de “¿qué hago ahora?”. Tranquilo, lo has encontrado. Nosotros lo arreglamos todo, sin rodeos.

¿Qué ha pasado exactamente?

Cuando se corta la corriente, muchas veces los archivos quedan a medias. ¿Qué pasa? Que se cuelan scripts, se corrompen permisos y los plugins viejos sin actualizar se convierten en puertas abiertas para los amiguitos del malware.

  • Redirecciones automáticas a webs rusas, chinas o páginas de apuestas
  • Archivos nuevos en wp-includes o wp-content/uploads con nombres rarísimos
  • Usuarios nuevos creados sin permiso (spoiler: son los malos)
  • Plugins modificados o metidos a traición

¿Y qué hace el cliente? Borra cosas al tuntún y lo empeora. 😑

Recuperación paso a paso (si eres valiente)

1. Accede al servidor por consola o FTP

Lo primero, detenemos Apache para evitar que el sitio siga sirviendo basura:

systemctl stop apache2

2. Comprobación de archivos comprometidos

Buscamos código extraño con un find rápido:

grep -Ri \"base64_decode\" /var/www/html

También vale buscar eval(), gzinflate, shell_exec. Si aparecen donde no deberían, estás jodido (pero solo si no nos llamas).

3. Backup antes de tocar (por si petamos algo)

tar -czf wordpress-Valle de Oca-hackeado.tar.gz /var/www/html

4. Eliminamos lo que está podrido

  • Reinstalamos WordPress por completo (sin borrar wp-content)
  • Borramos todos los plugins y los volvemos a instalar limpios
  • Usuarios nuevos eliminados desde la base de datos

5. Escaneamos con herramientas reales

  • Wordfence en modo scan completo
  • WPScan desde consola para detectar vulnerabilidades
  • Y si hace falta, Maldet desde el servidor

6. Revisamos cron jobs y .htaccess

Si hay cron jobs con curl hacia URLs desconocidas, estás comprometido. Y el .htaccess suele estar alterado para redirigir tráfico o ocultar malware.

¿Y si no se puede limpiar? Clonamos, reparamos y migramos

Si el WordPress está tan infectado que parece un colador, hacemos lo siguiente:

  1. Clonamos solo el contenido limpio
  2. Montamos una instalación nueva desde cero
  3. Migramos posts, imágenes y ajustes limpios
  4. Y el dominio lo apuntamos a la nueva instancia

Historias reales de limpieza bestial

  • Sevilla: WordPress de inmobiliaria redirigiendo a porno en móviles. Descubrimos malware en un plugin “pro” bajado de Telegram. Instalación limpia en 2h, cliente feliz.
  • Alicante: Tema comprado en ThemeForest con puerta trasera. Lo rehicimos entero con tema limpio y Child Theme. Cero infecciones desde entonces.
  • Valle de Oca: Corte de corriente, se metió un script que minaba cripto desde el servidor. Limpieza, auditoría de logs y medidas anti-futuras intrusiones.

Y luego, lo blindamos para que no vuelva a pasar

  • Firewall a nivel de servidor con reglas personalizadas
  • Plugins de seguridad (sí, los buenos, no los que ralentizan todo)
  • Limitación de accesos al panel
  • Actualizaciones automáticas solo de seguridad
  • Backups externos, diarios y automáticos

¿Vas a dejar tu web hackeada así, de paseo por el mundo?

No juegues. Si el corte en Valle de Oca ha destrozado tu web y ahora tienes que explicarle a tu cliente por qué su página vende Rolex falsos, lo mejor que puedes hacer es llamarnos. Nosotros lo arreglamos TODO. Sin excusas, sin sustos.

PC64 Servicios Informáticos. Enchufamos, rescatamos y blindamos como nadie.