WordPress hackeado? Lista de verificación paso a paso para recuperación y prevención (para dueños de sitios)

/ Publicidad
Wordpress Hacked

WordPress hackeado? Si estás leyendo esto porque sospechas que tu sitio está wordpress hacked, no estás exagerando. La mayoría de los compromisos en WordPress no se ven como una escena de película. Son silenciosos y molestos: una redirección rara que solo ocurre en móvil, páginas de spam que aparecen en Google, una caída repentina en rankings, un nuevo usuario administrador que tú no creaste, o una advertencia de seguridad que ahuyenta a clientes reales.

Lo frustrante es que una situación de wordpress hacked puede empezar pareciendo “problemas aleatorios de WordPress”. Falla una actualización de plugin. Tu sitio se pone lento. Tu página de inicio se ve normal, pero los visitantes que llegan desde Google terminan enviados a un sitio sospechoso. O todo parece estar bien hasta que notas decenas (a veces cientos) de URLs basura indexadas bajo tu dominio.

Esta guía está hecha para ese momento exacto. No teoría. No pánico. Una respuesta práctica, paso a paso, que puedes seguir incluso si no eres técnico.

Esto es lo que harás:

  • Confirmar si el problema realmente es un hack (y no caché, un conflicto de plugins o una falsa alarma)
  • Contener el daño rápido, para que el problema no se propague ni siga afectando a los visitantes
  • Hacer una copia de seguridad de la forma correcta antes de cambiar nada, para no perder evidencia ni complicar la limpieza
  • Eliminar puntos de entrada comunes de malware y limpiar con seguridad sin romper tu sitio
  • Verificar que el sitio realmente esté limpio y que no esté a punto de reinfectarse
  • Blindarlo con pasos simples de endurecimiento que eviten que vuelva a pasar

Si tu sitio está wordpress hacked, el objetivo no es “probar arreglos al azar” hasta que deje de comportarse raro. El objetivo es recuperar el control: confirmar, contener, limpiar y prevenir, con una lista de verificación que puedas reutilizar cuando lo necesites.

WordPress Hacked? Señales, Pruebas Rápidas y Qué se Considera un Hack

Si estás tratando de averiguar si tu sitio está wordpress hacked, empieza por los síntomas (lo que ven los visitantes) y luego pasa a la confirmación (lo que el sitio realmente está haciendo detrás de escena). Un “hack” normalmente significa cambios no autorizados: nuevos usuarios, código inyectado, redirecciones maliciosas, contenido spam, o archivos/configuraciones modificadas que tú no aprobaste.

Lista rápida de síntomas (lo que notarás primero)

Busca cualquiera de estos patrones (uno solo puede ser casualidad, varios juntos son una señal de alerta):

  • Redirecciones a páginas de apuestas/farmacia/“premios” (a menudo solo en móvil o solo desde tráfico de Google)
  • Páginas de spam indexadas en Google (URLs aleatorias que tú nunca creaste)
  • Nuevos usuarios administradores que no reconoces, o usuarios existentes que de repente fueron subidos a Administrador
  • Advertencias del navegador/de seguridad (“Sitio engañoso”, alertas de malware, avisos de suspensión del hosting)
  • Popups extraños o anuncios inyectados en tus páginas
  • Correos enviados desde tu sitio que tú no provocaste (restablecimientos de contraseña, inundaciones del formulario de contacto)
  • Caída de velocidad del sitio + errores 500 aleatorios que aparecen y desaparecen
  • La página de inicio se ve normal pero páginas específicas se comportan raro (común con malware “condicional”)

Pruebas rápidas de confirmación (chequeos rápidos y con alta señal)

Estos chequeos toman minutos y te dan evidencia real:

  • Auditoría de usuarios: En WordPress, ve a Usuarios y ordena por rol. Busca admins desconocidos. Si tienes acceso a la base de datos (phpMyAdmin), revisa la tabla wp_users para ver entradas nuevas y cambios recientes.
  • Fechas de modificación de archivos: En tu administrador de archivos/SFTP, ordena wp-content/ por “fecha de modificación”. Presta atención a ráfagas repentinas de cambios, especialmente en plugins, themes, mu-plugins y uploads.
  • Escaneo de seguridad: Ejecuta un escáner confiable (basado en plugin o del lado del servidor) para detectar firmas conocidas de malware y archivos PHP sospechosos.
  • Google Search Console: Revisa Problemas de seguridad y Acciones manuales, y revisa el informe de Indexación/Páginas para detectar URLs basura o picos inusuales.

Si varias pruebas coinciden, eso es una confirmación fuerte de que hay algo mal más allá de “WordPress está raro”.

Falsos positivos de “no es un hack” (alarmas comunes)

Incluso cuando no es wordpress hacked, esto puede imitar los mismos síntomas:

  • Problemas de caché (recursos viejos, imágenes rotas, diseño raro) después de actualizaciones
  • Conflictos de plugins que causan redirecciones, errores o bloqueos del panel
  • Configuraciones incorrectas de CDN/WAF (reglas de Cloudflare, protección anti-bots, reescrituras por contenido mixto)
  • Propagación de DNS que hace que el sitio se vea diferente según la ubicación

Regla práctica: si ves cambios no autorizados (usuarios, archivos, contenido inyectado), trátalo como un incidente de seguridad—no solo como una tarea de troubleshooting.

WordPress Hacked: Lista de verificación de triage para los primeros 60 minutos

Cuando un sitio está wordpress hacked, tu primer trabajo no es “limpiar todo”. Tu primer trabajo es detener el sangrado, preservar evidencia y evitar la reinfección mientras te organizas. Sigue esta lista en orden. Si no haces nada más, haz los primeros dos pasos.

Contener el daño (modo mantenimiento, bloquear el acceso al admin si hace falta)

  • Pon el sitio en modo mantenimiento (o muestra temporalmente una página estática de “Volvemos enseguida”). Esto reduce el riesgo para los visitantes y limita que los ataques automatizados sigan ejecutándose.
  • Si hay redirecciones o malware activo, considera restringir el acceso temporalmente:
    • Bloquea /wp-admin/ y /wp-login.php a nivel de servidor (o limita por IP si es posible).
    • Si no puedes bloquearlo de forma segura, desconecta el sitio brevemente en lugar de dejar que siga infectando a los usuarios.
  • Pausa el envío de correos si tu sitio podría estar enviando spam (abuso del formulario de contacto o correo comprometido). Esto protege la reputación de tu dominio.
  • No empieces a borrar archivos al azar todavía. Eso puede eliminar pistas y dificultar el diagnóstico de reinfecciones.

Copia “snapshot” antes de cambios (archivos + base de datos)

Antes de tocar plugins, temas o archivos del core, crea un snapshot al que puedas volver.

  • Crea un backup completo de archivos (todo el directorio de WordPress, especialmente wp-content/).
  • Crea una exportación de la base de datos (con la herramienta de backups del hosting, phpMyAdmin o CLI).
  • Guarda los backups fuera del servidor (disco local o nube) para conservarlos aunque el hosting restrinja el acceso.
  • Etiqueta el backup con claridad: incident-backup-YYYY-MM-DD para no confundirlo con backups limpios después.

Este es tu salvavidas y tu paquete de evidencia.

Rotar credenciales (admins WP, hosting, SFTP/SSH, BD, llaves API)

El robo de credenciales es una causa común y también una vía común de reinfección. Rota estas credenciales en este orden:

  • Contraseñas de administradores de WordPress (todos los admins) y elimina cualquier admin sospechoso inmediatamente después de tener el backup.
  • Acceso al panel del hosting (cPanel/ISPConfig/etc.) + el correo principal asociado a la cuenta del hosting.
  • SFTP/SSH contraseñas/llaves, y desactiva usuarios que no reconozcas.
  • Contraseña del usuario de la base de datos (actualízala en wp-config.php justo después de cambiarla).
  • Llaves API e integraciones: SMTP, pasarelas de pago, reCAPTCHA, Google Maps, etiquetas de analítica, webhooks y cualquier servicio externo conectado al sitio.

Tip: si varias personas tienen acceso, asume que todas las credenciales pueden estar expuestas hasta que se demuestre lo contrario.

Desactivar puntos de entrada probables (plugins/temas) de forma segura

La mayoría de los compromisos entran por plugins/temas vulnerables o “nulled”.

  • Desactiva todos los plugins rápido renombrando la carpeta /wp-content/plugins/ (es lo más rápido cuando no puedes entrar a wp-admin).
  • Cambia a un tema por defecto (como Twenty Twenty-Four) si sospechas que el tema está comprometido.
  • Si el sitio es crítico para el negocio, vuelve a activar plugins uno por uno después de escanear y solo desde fuentes confiables.
  • Marca y planea eliminar todo lo que sea:
    • Abandonado (sin actualizaciones)
    • No proveniente de un marketplace confiable
    • Versiones “Pro” obtenidas fuera de la licencia oficial (alto riesgo de reinfección)

Al final de esta primera hora, tu objetivo es simple: el sitio está contenido, tienes un snapshot, las credenciales están rotadas y los mayores puntos de entrada están en pausa. Luego pasas a la limpieza con la cabeza fría.

Preservar evidencia + prevenir la reinfección

Una vez que contuviste el incidente, la siguiente prioridad es preservar evidencia y bloquear las vías más comunes de reinfección. Cuando un sitio está wordpress hacked, el peor resultado es que “parece limpio” por 48 horas… y luego vuelven las redirecciones porque la puerta trasera real nunca se eliminó.

Qué NO borrar (logs, archivos sospechosos para revisar)

Da ganas de borrar cualquier cosa que se vea rara. No lo hagas, al menos no todavía. Primero guarda evidencia.

  • No borres los logs de inmediato. Si están disponibles, exporta:
    • Logs de acceso/error del servidor web (Apache/Nginx)
    • Logs de errores de PHP
    • Logs del plugin de seguridad/WAF (Cloudflare, Wordfence, etc.)
  • No borres archivos sospechosos sin copiarlos antes.
    • Descarga el archivo (o comprime el directorio sospechoso) para analizarlo luego o compartirlo con un profesional.
  • No sobreescribas todo a ciegas desde un backup hasta confirmar que ese backup está limpio. Restaurar un backup infectado es una forma rápida de reinfectarte.

Tu objetivo es conservar suficiente contexto para responder: ¿cómo entraron, qué cambiaron y qué está reactivando el problema?

Dónde se esconden los hacks (lugares con alta probabilidad)

Cuando el malware en WordPress es persistente, suele esconderse en lugares que casi nadie revisa:

  • mu-plugins (/wp-content/mu-plugins/) — los “must-use” cargan automáticamente y son un escondite favorito.
  • Ediciones en wp-config.php — busca eval(), base64_decode(), includes inesperados o llamadas remotas.
  • Cron / tareas programadas — el cron de WordPress puede usarse para reinyectar malware. Revisa eventos programados desconocidos.
  • Carpeta uploads (/wp-content/uploads/) — los atacantes guardan PHP donde esperas solo imágenes/PDFs.
  • Inyecciones en la base de datos — el código malicioso puede vivir en wp_options (reescrituras de siteurl/home, scripts inyectados), contenido de posts o widgets.

Si solo limpias plugins/temas e ignoras estas áreas, la reinfección es común.

Si estás en hosting compartido vs VPS (qué cambia)

  • Hosting compartido: probablemente tendrás acceso limitado a logs del servidor y procesos del sistema. Enfócate en: auditoría de usuarios, integridad de archivos, permisos y eliminar plugins/temas vulnerables. Pídele al hosting exportes de logs e informes de malware si es posible.
  • VPS (o dedicado): tienes más control y más responsabilidad. Además de la limpieza en WordPress, revisa usuarios del servidor, llaves SSH, procesos activos, crontab a nivel sistema y configuración del servidor web por reescrituras maliciosas.

En resumen: evidencia + revisar los “lugares escondidos” correctos es lo que convierte una limpieza en una solución real, no en una pausa temporal.

Clean + Restore Safely (a Repeatable Malware Removal Workflow)

WordPress hackeado

Si confirmaste que el sitio está wordpress hacked, el enfoque más seguro es un flujo repetible que asume tres cosas: (1) puede que aún no sepas por dónde entraron, (2) los atacantes suelen dejar puertas traseras, y (3) “se ve normal” no es lo mismo que “está limpio”. Los pasos siguientes están diseñados para limpiar sin romper tu sitio ni restaurar un backup infectado.

Reemplazar el core de forma segura (reinstalar el core de WordPress, chequear integridad)

Los archivos del core deben coincidir con las versiones oficiales de WordPress. Si el core fue modificado, no puedes confiar en lo que está ejecutándose.

  • Haz backup primero (ya hiciste un snapshot en el triage).
  • Descarga una copia nueva de WordPress desde WordPress.org.
  • Reemplaza solo carpetas/archivos del core (normalmente: wp-admin/ y wp-includes/, además de archivos sueltos del core en la raíz).
    • No sobreescribas wp-config.php ni wp-content/.
  • Si usas WP-CLI, ejecutar una re-descarga del core (sin tocar config/contenido) puede ser un método limpio.
  • Después de reemplazar, haz un chequeo rápido de integridad: compara fechas de modificación, busca archivos PHP inesperados en /wp-content/uploads/ y confirma que no aparecieron archivos desconocidos en la raíz.

Objetivo: devolver el core de WordPress a una base conocida y confiable.

Limpiar temas/plugins (eliminar nulled/abandonados, reinstalar desde fuente confiable)

La mayoría de las infecciones reales entran por plugins/temas.

  • Elimina (no solo desactives) cualquier cosa “nulled” u obtenida fuera de la licencia oficial. El software nulled es un imán de reinfección.
  • Elimina plugins/temas abandonados (sin actualizaciones, malas reseñas, proveedores desconocidos).
  • Para los plugins/temas que conservas:
    • Borra completamente la carpeta actual.
    • Reinstala la misma versión desde una fuente confiable (repositorio de WordPress o descarga oficial del proveedor).
  • Revisa si hay carpetas “parecidas” a plugins legítimos (a veces crean nombres casi idénticos).
  • Si el sitio es crítico, vuelve a activar plugins uno por uno y prueba flujos clave (formularios, checkout, reservas).

Objetivo: eliminar puntos de entrada comunes y quitar código contaminado en lugar de intentar “editarlo” para limpiarlo.

Limpieza de base de datos (admins falsos, contenido inyectado, opciones sospechosas)

Un sistema de archivos limpio aún puede ejecutar comportamiento malicioso si la base de datos está inyectada.

  • Usuarios / admins: elimina usuarios desconocidos. También revisa si usuarios legítimos fueron elevados a Administrador.
  • Contenido inyectado: busca scripts raros, enlaces ocultos o bloques de spam en páginas/posts. Lugares comunes:
    • Widgets del footer
    • Constructores visuales/plantillas globales
    • Bloques reutilizables
  • Opciones sospechosas: revisa wp_options buscando:
    • Cambios inesperados en siteurl / home
    • Opciones autoload desconocidas con strings largas y codificadas
    • Configuraciones que apuntan a dominios externos que no reconoces
  • Si ves ofuscación fuerte (caracteres aleatorios, blobs base64), guarda una copia para revisar antes de borrar.

Objetivo: eliminar mecanismos de persistencia que reinyectan spam o redirecciones desde la base de datos.

Permisos de archivos + endurecimiento básico de wp-config

No necesitas un bloqueo extremo, solo valores razonables:

  • Asegúrate de que las carpetas no estén “world-writable”. Usa permisos estándar para archivos vs directorios (tu hosting puede recomendar valores exactos).
  • Desactiva la ejecución de PHP en uploads (buena práctica común) si tu entorno lo permite.
  • Revisa wp-config.php para detectar cosas inesperadas:
    • Includes nuevos
    • URLs remotas
    • Constantes raras que tú no configuraste
  • Confirma que el admin funciona bajo HTTPS y considera:
    • Contraseñas fuertes + 2FA
    • Limitar intentos de login
    • Desactivar XML-RPC si no lo necesitas (o restringirlo)

Objetivo: reducir la probabilidad de que el mismo vector funcione otra vez.

Pasos de validación (demuestra que está limpio)

No te quedes con “el sitio carga”. Demuestra que la infección ya no está.

  • Escanea de nuevo con una herramienta de seguridad confiable después de limpiar (y vuelve a escanear tras reactivar plugins).
  • Revisa redirecciones: prueba en incógnito, en móvil y desde resultados de Google si es posible.
  • Resultados de búsqueda: busca URLs spam indexadas bajo tu dominio y solicita eliminación/validación después de la limpieza.
  • Uptime + rendimiento: monitorea picos repentinos de CPU, errores 500 recurrentes o lentitud inexplicable.
  • Vuelve a revisar usuarios y cambios de archivos 24–48 horas después. Si aparecen archivos nuevos o reaparecen usuarios, probablemente aún existe una puerta trasera.

Una limpieza exitosa es aburrida: no hay admins desconocidos nuevos, no hay ediciones sorpresa de archivos, no hay tareas programadas raras, y no hay redirecciones sospechosas—especialmente después de uno o dos días de tráfico normal.

Hardening After Cleanup (Make It Hard to Get Hacked Again)

Wordpress Hacked

Limpiar un sitio comprometido es solo la mitad del trabajo. La verdadera victoria es evitar el próximo incidente, porque la mayoría de los casos repetidos ocurren por las mismas razones: software viejo, contraseñas reutilizadas, demasiados admins y cero sistema de alerta temprana. Si tu sitio estuvo wordpress hacked, usa este endurecimiento como tu nueva base.

Actualizaciones + mínimo privilegio (roles, contraseñas fuertes, 2FA)

  • Actualiza todo: core de WordPress, temas, plugins y PHP (desde el hosting). El software desactualizado es el punto de entrada más fácil.
  • Reduce cuentas admin: deja acceso admin solo a quien realmente lo necesita. El resto debería ser Editor/Autor o roles personalizados.
  • Usa contraseñas fuertes y únicas en todo (WordPress, hosting, correo, base de datos, SFTP/SSH). Un gestor de contraseñas lo hace viable.
  • Activa 2FA para todos los usuarios admin. Este cambio solo bloquea una enorme parte de ataques por credenciales.
  • Elimina plugins/temas no usados (no solo desactives). Menos código = menos superficie de ataque.
  • Protege tus canales de “recuperación”: asegura los correos usados para resets y accesos al hosting (2FA + contraseña fuerte).

Capas de seguridad (WAF/CDN, rate limiting, protección de login)

Piensa en capas: si una falla, otra te cubre.

  • Usa un WAF (firewall de aplicaciones web) con un plugin de seguridad o un servicio/CDN. Esto ayuda a bloquear tráfico malicioso conocido y patrones comunes de explotación.
  • Agrega rate limiting + protección anti-bots:
    • Limitar intentos de inicio de sesión
    • Bloquear IPs por fuerza bruta
    • Desafiar (challenge) tráfico sospechoso
  • Protege endpoints de login:
    • Considera restringir acceso a /wp-login.php (por IP o autenticación extra) si tu flujo lo permite.
    • Desactiva o restringe XML-RPC si no lo necesitas.
  • Endurece el acceso a archivos:
    • Desactiva la ejecución de PHP en uploads (cuando sea viable).
    • Evita dejar zips de backup o copias viejas del sitio en directorios públicos.

Backups que sí funcionan (frecuencia, fuera del servidor, prueba de restauración)

Un backup no es real hasta que lo restauras.

  • Frecuencia: diaria para la mayoría de sitios; más seguido para ecommerce o sitios con muchos cambios.
  • Almacenamiento fuera del servidor: guarda backups en un lugar separado (bucket en la nube, Google Drive, etc.). Si el servidor se compromete, los backups locales también pueden comprometerse.
  • Múltiples puntos de restauración: conserva al menos 7–30 días de versiones.
  • Prueba de restauración: haz una prueba trimestral en staging o un entorno local para saber que funciona bajo presión.

Plan de monitoreo (alertas, cambios de archivos, seguimiento de vulnerabilidades)

El monitoreo convierte “hacks sorpresa” en “detectado a tiempo”.

  • Alertas: monitoreo de uptime + alertas de expiración de SSL + notificaciones de errores críticos.
  • Detección de cambios de archivos: recibe alertas cuando cambien archivos del core o directorios sensibles sin razón.
  • Seguimiento de vulnerabilidades: mantén una rutina mensual para revisar updates de plugins/temas y eliminar lo abandonado.
  • Revisiones en Search Console: revisa Problemas de seguridad y busca nuevas URLs spam periódicamente.
  • Revisión de logs: incluso una revisión semanal rápida de logs de seguridad/WAF puede mostrar intentos repetidos de ataque.

El endurecimiento no se trata de ser perfecto. Se trata de hacer tu sitio más difícil de atacar que el siguiente, y detectar problemas antes de que lo hagan tus clientes.

Ongoing Maintenance + When to Hire a Pro

Después de una limpieza, el mayor riesgo no es “que te vuelvan a hackear algún día”. Es reinfectarte porque se pasó algo por alto, o porque el punto de entrada original sigue abierto. El mantenimiento continuo es lo que evita que un incidente puntual se convierta en un incendio mensual.

Qué pedirá un profesional, tiempos típicos y cómo se ve un “listo”

Si contratas a un profesional de seguridad (o un servicio de limpieza de WordPress), normalmente te pedirán:

  • Acceso de administrador (o un admin temporal)
  • Acceso al panel del hosting (y a veces SFTP/SSH)
  • Un backup reciente y el snapshot del incidente (archivos + base de datos)
  • Logs del plugin de seguridad, logs del servidor y detalles del WAF/CDN (Cloudflare, etc.)
  • Acceso a Google Search Console (para revisar problemas de seguridad e indexación de spam)

Los tiempos típicos varían: un sitio simple suele estabilizarse el mismo día, mientras que infecciones más profundas o sitios grandes pueden tardar más—especialmente si hay reinfección. “Listo” debe significar más que “el sitio carga”. Debe significar:

  • Sin admins inesperados
  • Sin cambios sospechosos de archivos después de 24–48 horas
  • Redirecciones/inyecciones de spam eliminadas
  • Componentes vulnerables eliminados o reemplazados
  • Un plan de prevención activo (actualizaciones, backups, monitoreo)

Señales para decidir (cuando hacerlo tú mismo se vuelve riesgoso)

Considera contratar a un profesional de inmediato si:

  • Tienes ecommerce, cobras pagos o guardas PII (datos de clientes)
  • El sitio se está reinfectando después de haberlo “limpiado” una vez
  • No puedes identificar el punto de entrada (causa desconocida = mayor riesgo de recurrencia)
  • Tu hosting marca la cuenta por malware o spam saliente
  • Se caen rankings o Google muestra muchas URLs spam
  • Estás perdiendo leads/ingresos y necesitas la recuperación segura más rápida

Si el incidente te está costando dinero cada día, la limpieza profesional más monitoreo suele ser más barato que el downtime repetido.

FAQ

¿Cómo sé si mi sitio está wordpress hacked o solo está fallando?

Si ves cambios no autorizados (nuevos admins, scripts inyectados, páginas spam o redirecciones ocultas), trátalo como un hack. Si los síntomas empezaron tras una actualización y no hay usuarios/archivos desconocidos, puede ser un conflicto o un problema de caché.

¿Qué hago primero si los visitantes están siendo redirigidos?

Contén el problema de inmediato: activa modo mantenimiento, restringe wp-admin/wp-login si puedes, y crea un snapshot completo antes de borrar nada. El malware de redirecciones suele escalar si mantienes el sitio en línea.

¿Debo restaurar desde un backup o limpiar el sitio actual?

Restaurar puede ser más rápido, pero solo si estás seguro de que el backup es anterior a la infección. Si no sabes cuándo empezó, podrías restaurar malware y reinfectarte.

¿Tengo que cambiar contraseñas si reinstalo el core de WordPress?

Sí. Reinstalar el core no arregla credenciales robadas. Rota contraseñas de admins, accesos de hosting, SFTP/SSH, credenciales de base de datos y cualquier llave API conectada.

¿Un plugin de seguridad puede eliminar todo el malware?

A veces detecta infecciones obvias, pero no siempre encuentra puertas traseras, inyecciones en la base de datos o persistencia a nivel servidor. Úsalo como herramienta de detección, no como el único método de limpieza.

¿Por qué mi sitio se sigue reinfectando?

Causas comunes: plugins/temas nulled, un plugin vulnerable desactualizado, puertas traseras en mu-plugins o uploads, credenciales del hosting comprometidas o restaurar un backup infectado.

¿Qué evidencia debo guardar antes de limpiar?

Exporta logs del servidor (si están disponibles), logs del plugin de seguridad y copias de archivos sospechosos. Esto ayuda a identificar el punto de entrada y evita reinfecciones.

¿Qué significa realmente “limpio” después de un hack?

Limpio significa: sin redirecciones maliciosas, sin spam inyectado, sin admins desconocidos y sin cambios inesperados de archivos durante al menos 24–48 horas después de volver al tráfico normal—más endurecimiento, backups y monitoreo activos.

Conclusión

Un sitio hackeado no necesita pánico, necesita un proceso: confirmar el compromiso, contener el daño, hacer backup antes de cambios, limpiar con un flujo repetible, y luego endurecer y monitorear para que no vuelva. Usa las listas de verificación de esta guía para actuar rápido sin empeorar el problema. Si estás enfrentando reinfecciones, datos de ecommerce o no logras encontrar el punto de entrada, considera limpieza profesional más monitoreo continuo.