Si hoy tu web muestra spam, redirecciones extrañas, archivos que no reconoces o Google avisa de contenido peligroso, la prioridad no es “arreglarlo cuando puedas”. La prioridad es actuar ya. Saber cómo recuperar una web hackeada marca la diferencia entre una incidencia controlable y un problema que acaba afectando a ventas, reputación, posicionamiento y confianza del cliente.
Lo primero que conviene tener claro es que no basta con borrar lo que parece raro. En muchas infecciones, el código malicioso se esconde en varios puntos a la vez, crea puertas traseras y vuelve a activarse aunque elimines el síntoma visible. Por eso la recuperación debe hacerse con orden, criterio técnico y pensando no solo en limpiar, sino en cerrar el origen de la entrada.
Cómo recuperar una web hackeada sin empeorar el problema
El primer error habitual es seguir trabajando sobre la web como si nada. Si tu sitio está comprometido, cada minuto cuenta. Puede estar enviando spam, infectando a visitantes, filtrando datos o perdiendo posiciones en buscadores. Antes de tocar archivos a ciegas, conviene contener el problema.
Empieza por limitar el acceso público si la situación es grave. En una tienda online o una web corporativa esto puede incomodar, sí, pero a veces es mejor una parada controlada que seguir mostrando una página comprometida. Si no puedes despublicarla del todo, al menos desactiva funciones críticas y evita que el problema se amplíe.
A continuación, cambia todas las credenciales relacionadas con el sitio: hosting, FTP, panel de control, base de datos, cuentas de administrador y accesos vinculados. Hazlo desde un equipo limpio. Si el ordenador desde el que gestionas la web también está infectado, cambiar contraseñas sirve de poco.
Después, guarda una copia completa del estado actual. Aunque la web esté hackeada, esa evidencia puede ayudarte a identificar el vector de ataque, revisar fechas, detectar archivos alterados y entender qué ha ocurrido. Borrar antes de analizar suele salir caro.
Qué revisar antes de limpiar
Recuperar una web no consiste en “pasar un antivirus” y listo. Hay que revisar tres niveles: archivos, base de datos y configuración del servidor.
En los archivos, busca cambios recientes sospechosos, scripts con nombres extraños, código ofuscado y ficheros añadidos en carpetas donde no deberían existir. En WordPress, por ejemplo, suele haber señales en themes, plugins, uploads y archivos del núcleo modificados. También conviene revisar tareas programadas, usuarios nuevos y permisos excesivos.
En la base de datos, el problema puede estar en contenidos inyectados, enlaces spam, usuarios administradores no autorizados o código malicioso incrustado en ajustes del sitio. Esto pasa mucho cuando el ataque no destruye la web, sino que la usa para SEO malicioso o redirecciones invisibles.
Y luego está el servidor. Versiones obsoletas de PHP, configuraciones inseguras, puertos expuestos o servicios sin actualizar pueden ser la causa de fondo. Si limpias la web pero mantienes abierta la puerta, el ataque volverá.
El camino correcto para limpiar una web comprometida
1. Identificar el punto de entrada
Aquí está una de las partes más importantes. La intrusión puede venir de un plugin vulnerable, una contraseña débil, un CMS desactualizado, un tema pirateado o un acceso al servidor mal protegido. A veces también entra por otro sitio alojado en el mismo hosting.
Si no detectas el origen, solo estarás maquillando el problema. En entornos empresariales esto es clave, porque una reinfección no solo implica coste técnico. También afecta a campañas activas, formularios de contacto, captación de leads y confianza de los usuarios.
2. Restaurar una copia limpia, si existe y es fiable
Una copia de seguridad puede ahorrar mucho tiempo, pero no siempre resuelve todo. Debe ser anterior a la infección y estar verificada. Restaurar una copia contaminada o demasiado reciente es volver al mismo punto.
Además, incluso si restauras correctamente, hay que actualizar software, cambiar credenciales y revisar configuraciones. La copia sirve para recuperar operatividad, no para dar el incidente por cerrado.
3. Eliminar archivos y código malicioso
Si no hay backup limpio o si prefieres una limpieza manual, el trabajo debe hacerse comparando archivos legítimos con versiones originales, revisando cambios anómalos y eliminando puertas traseras. Este punto exige cuidado. Borrar un archivo esencial puede romper funcionalidades críticas, pero dejar una sola puerta trasera puede reinfectar el sitio entero.
En proyectos a medida, el análisis debe ser todavía más fino. No todo archivo “distinto” es sospechoso. Por eso conviene que la revisión la haga alguien que entienda tanto la lógica del sistema como los patrones habituales de infección.
4. Revisar base de datos y cuentas de usuario
No sirve de nada limpiar el código si permanece un usuario administrador creado por el atacante o si la base de datos sigue cargando scripts maliciosos. Revisa usuarios, roles, tablas alteradas y contenido insertado sin autorización. Si tu web tiene tienda online, área privada o formularios, esta fase merece especial atención.
5. Actualizar y endurecer
Una vez limpia, toca reforzar. Actualiza CMS, plugins, temas, librerías y versión de servidor. Elimina lo que no uses. Reduce permisos de escritura, limita accesos, activa autenticación reforzada si es viable y revisa políticas de contraseñas.
Aquí no hay una receta única. Depende del tipo de web, del volumen de tráfico y de lo que esté en juego. Una página corporativa sencilla no necesita el mismo nivel de blindaje que un eCommerce o una plataforma con datos sensibles. Pero todas necesitan una base de seguridad seria.
Señales de que la recuperación no está terminada
Hay webs que parecen limpias y no lo están. Si la web vuelve a redirigir, aparecen usuarios desconocidos, el hosting detecta actividad rara, se disparan correos salientes o Google sigue mostrando alertas, el incidente continúa abierto.
Otra señal habitual es una bajada brusca de rendimiento. Algunos ataques no buscan tumbar la web, sino consumir recursos en segundo plano o utilizar el servidor para tareas ajenas. Si la carga empeora sin motivo claro, conviene seguir investigando.
También debes vigilar el SEO. Muchas infecciones insertan páginas spam, enlaces ocultos o contenido no visible para el administrador. Aunque la web “funcione”, el daño en posicionamiento puede mantenerse si no se limpia a fondo y se revisa qué ha indexado el buscador.
Cómo recuperar una web hackeada y proteger el negocio
Cuando una empresa sufre un hackeo, no está perdiendo solo una web. Está poniendo en riesgo formularios de contacto, campañas de captación, ventas online, credibilidad de marca y datos de clientes. Por eso la recuperación debe verse como una tarea de negocio, no solo técnica.
La decisión entre arreglar deprisa o arreglar bien suele notarse semanas después. Una intervención superficial puede salir aparentemente más barata, pero si el ataque reaparece, el coste real se multiplica. Horas de trabajo, caída de conversiones, pérdida de visibilidad y tiempo del equipo interno. Todo eso cuenta.
En muchos casos compensa hacer una revisión completa del proyecto una vez resuelto el incidente. No solo para reforzar seguridad, también para revisar velocidad, estructura, hosting, copias de seguridad y mantenimiento. Una web desactualizada suele fallar por más de un sitio a la vez.
Qué hacer para no volver a pasar por lo mismo
La prevención real no consiste en instalar un plugin de seguridad y olvidarse. Consiste en mantener el entorno al día, controlar accesos, disponer de copias verificadas, monitorizar cambios y trabajar con una arquitectura razonable.
Si dependes de tu web para generar contactos o vender, conviene tener un mantenimiento activo. Eso incluye actualizaciones, supervisión, revisión de errores y respuesta rápida ante incidencias. No hace falta sobredimensionar, pero sí tener control. Ahí es donde un equipo técnico que conozca el proyecto marca diferencia.
En Desarrollo Web GRX vemos a menudo el mismo patrón: webs montadas con prisas, sin mantenimiento, con demasiados plugins y contraseñas compartidas entre varias personas. Funcionan hasta que dejan de funcionar. Y cuando fallan, el coste no es solo técnico, es comercial.
Si tu sitio ha sido atacado, actúa rápido, pero no improvises. Recuperar una web hackeada de verdad implica contener, investigar, limpiar, cerrar la entrada y reforzar el entorno. Lo urgente es volver a estar online. Lo inteligente es volver mejor protegido.