#8 Señales de que tu WordPress ha sido hackeado y no te has enterado
Tu web parece normal. Puede que no lo esté.
Una de las cosas que más me repiten los clientes cuando les digo que tienen un problema en su web es: “pero si funciona con normalidad, yo la veo bien”.
Eso es exactamente lo que quiere el atacante.
Los compromisos silenciosos — los que no gritan, no desfiguran la portada y no muestran mensaje de hackeo — son los más habituales y los más rentables. Tu web funciona para ti. Pero mientras tanto está enviando miles de correos de spam, redirigiendo a tus visitantes móviles a páginas de farmacia online o usando tu servidor para atacar a otros.
Tú no ves nada. Ellos llevan semanas trabajando.
Tema de la semana
Señales de que tu WordPress ha sido hackeado y no te has enterado
No todas las señales son obvias. Algunas requieren fijarse en cosas que normalmente no revisamos. Aquí van las más frecuentes.
Google avisa antes que tú
Google Search Console1 puede enviarte alertas cuando detecta contenido malicioso en tu web. Muchos propietarios de webs no tienen Search Console configurado, o lo tienen pero no revisan las alertas. Si entras y ves avisos de “contenido engañoso” o “software no deseado”, tu web lleva tiempo comprometida.
También puedes hacer una búsqueda rápida: escribe site:tudominio.com en Google y mira los resultados. Si aparecen páginas en japonés, ruso, chino o con nombres de medicamentos que no reconoces, tienes un compromiso activo. Es uno de los ataques más habituales: el atacante indexa miles de páginas de spam SEO2 dentro de tu dominio para posicionar su contenido usando tu autoridad.
Tu web redirige a los usuarios móviles a otro sitio
Si accedes desde el escritorio, ves tu web normal. Si accedes desde el móvil, te redirige a otra página. Este ataque está diseñado específicamente para que el propietario no lo detecte, porque tú casi siempre revisas tu web desde el ordenador.
Pruébalo: accede a tu web desde el navegador del móvil, o usa las herramientas de desarrollador del navegador para simular un dispositivo móvil (F12 → icono de móvil en Chrome).
Tu hosting te avisa de uso anómalo de recursos
Si recibes notificaciones de que tu web está consumiendo más CPU o ancho de banda de lo habitual sin que haya cambiado el tráfico real, puede ser que algo esté corriendo en segundo plano. Los mineros de criptomonedas y los scripts de spam son grandes consumidores de recursos del servidor.
Aparecen archivos o usuarios que no reconoces
Revisa el gestor de archivos de tu hosting o accede por FTP3. Si hay archivos PHP con nombres genéricos en carpetas donde no debería haber código — especialmente en uploads — es una señal de alerta. También revisa los usuarios administradores de WordPress: Usuarios → Todos los usuarios → Administrador.
Tus correos llegan como spam o tu dominio está en listas negras4
Si de repente los correos que envías desde tu dominio caen en la carpeta de spam de tus destinatarios, puede que tu servidor esté siendo usado para enviar spam y tu dominio haya acabado en listas negras. Puedes comprobarlo en herramientas gratuitas como MXToolbox5 o Google Postmaster Tools.
Tu web ha bajado de posiciones en Google de forma brusca
Una caída repentina en el posicionamiento puede tener varias causas, pero una de ellas es que Google haya detectado contenido malicioso o técnicas de spam SEO y haya penalizado el dominio. Si llevas un tiempo sin cambiar nada y el tráfico orgánico cae en picado, merece la pena investigar.
Para llevar
Tres comprobaciones que puedes hacer hoy mismo en menos de diez minutos:
1. Busca site:tudominio.com en Google y revisa los resultados. ¿Aparecen páginas que no reconoces? ¿Títulos en otros idiomas? ¿Contenido de spam o medicamentos? Si la respuesta es sí, tienes trabajo urgente. Si todo parece normal, bien, pero repite la búsqueda cada mes.
2. Accede a tu web desde el móvil y comprueba que no hay redireccionamientos. Usa el navegador nativo del móvil, no aplicaciones de escritorio. Si te lleva a otro sitio o ves un comportamiento distinto al de escritorio, hay algo instalado que lo está haciendo.
3. Revisa los usuarios administradores de WordPress. Usuarios → Todos los usuarios → filtra por Administrador. Si hay alguno que no reconoces — aunque tenga pinta de nombre genérico normal — elimínalo y cambia la contraseña de todos los administradores reales.
En el radar — próxima edición
#9 · Shodan: el buscador que encuentra dispositivos, no páginas web
Google indexa contenido. Shodan indexa dispositivos: cámaras, routers, impresoras, servidores industriales, sistemas de control de edificios. Todo lo que está conectado a internet y responde. La semana que viene te explico qué es, qué puede encontrar cualquiera sobre tus sistemas y qué significa para la seguridad de tu infraestructura.
Hasta la próxima
Si llevas tiempo sin revisar tu WordPress por dentro, esta semana es buen momento para hacer las tres comprobaciones de arriba.
No es un proceso técnico. No hace falta tocar código. Son miradas rápidas que te dan una imagen real de cómo está tu web en este momento.
Si encuentras algo que no terminas de interpretar o quieres que lo revisemos juntos, escríbeme. Te digo qué tiene importancia real y qué no.
Cada viernes a las 9 de la mañana tienes una nueva edición de El Hurón del Hack en tu bandeja de entrada. Si tienes una web WordPress y no la has revisado en meses, esta edición está escrita para ti — y probablemente también para alguien que conoces.
Nos vemos el viernes que viene.
Chabi Angulo Consultor de Ciberseguridad chabiangulo.com · LinkedIn
Google Search Console: Herramienta gratuita de Google para propietarios de webs. Permite ver cómo aparece el sitio en los resultados de búsqueda y recibir alertas si Google detecta contenido malicioso o software no deseado.
Spam SEO: Técnica de ataque que inserta miles de páginas falsas dentro de un sitio web legítimo para aprovechar su reputación en Google y posicionar contenido fraudulento. Puede aparecer en idiomas extraños (japonés, chino, ruso) o con nombres de medicamentos.
FTP: File Transfer Protocol. Protocolo estándar para transferir archivos entre un cliente y un servidor. Permite acceder al sistema de archivos del hosting para revisar si hay archivos maliciosos o no reconocidos.
Lista negra (blacklist): Base de datos que registra dominios o direcciones IP conocidos por enviar spam o alojar contenido malicioso. Si tu dominio está en una lista negra, tus correos llegarán directamente a la carpeta de spam de tus destinatarios.
MXToolbox: Herramienta online gratuita para comprobar si un dominio o IP está incluido en listas negras de spam y para analizar la configuración de correo de un dominio.
