Hackearon mi WordPress es la frase del peor día digital, y el protocolo de emergencia existe exactamente para él: las primeras veinticuatro horas decididas de antemano, aislar el sitio para frenar el daño, respaldar la evidencia antes de tocar nada, restaurar desde la copia limpia, rotar todas las credenciales, parchar la puerta por donde entraron, los cinco movimientos en su orden correcto, porque el pánico improvisado empeora, el dueño que borra evidencia, que restaura sin parchar y se reinfecta, que rota a medias y deja la puerta trasera viva, los errores típicos del peor día que esta guía previene con el checklist imprimible, la hoja que se guarda hoy con calma para ejecutarla mañana sin pensar si el día llega.
Tabla de Contenidos
Las señales del hackeo y la primera decisión
El compromiso se manifiesta de formas conocidas: la web desfigurada con contenido ajeno, el caso evidente, las redirecciones a sitios extraños, el visitante que termina en farmacias o apuestas, los avisos del navegador, el sitio marcado como engañoso, el aviso de la consola de búsqueda con sus alertas de seguridad, los clientes que reportan rarezas, el correo del dominio rebotando como spam, las señales que confirman, y las sutiles que se verifican, la lentitud súbita inexplicable, los usuarios administradores que nadie creó, los archivos modificados con fechas extrañas. La primera decisión es de contención: el sitio en modo mantenimiento o fuera de línea según la gravedad, la vitrina infectada que sigue dañando visitantes y reputación se cierra primero, la calma operativa sobre el pánico, y el aviso interno donde corresponda, el equipo informado, el responsable técnico activado, el protocolo de esta guía abierto en la otra pantalla. El marco vive en los costos anuales, donde el mantenimiento que previene esto se presupuesta, y el servicio en diseño web.
Horas 0 a 4: aislar y respaldar la evidencia
El aislamiento frena la hemorragia: el sitio fuera de servicio público, la página de mantenimiento mientras se trabaja, las credenciales de acceso al panel y al hosting cambiadas de inmediato como primer cierre, las sesiones activas invalidadas, y el respaldo de evidencia antes de limpiar nada, el error clásico es restaurar encima y perder la información de qué pasó, la copia completa del sitio infectado descargada y guardada aparte, los archivos y la base de datos del estado comprometido, los logs del servidor de esta serie descargados, el registro de accesos que mostrará por dónde entraron, las capturas de lo visible, el desfiguro, las redirecciones documentadas. La evidencia sirve para todo lo que viene: el diagnóstico de la puerta de entrada, el reclamo al hosting o al proveedor donde aplique, la denuncia donde el caso lo amerite, y la lección que cierra el ciclo, el análisis posterior que evita la repetición, la media hora de respaldo que el apuro quiere saltarse y el protocolo no permite.
Horas 4 a 12: restaurar desde la copia limpia
La restauración usa el seguro que esta serie exige tener: el respaldo previo al compromiso identificado, la fecha del incidente estimada con los logs y las señales, la copia anterior a esa fecha elegida, el respaldo del hosting o del sistema propio, la razón por la que los respaldos automáticos verificados son innegociables en el pilar, y la restauración ejecutada limpia, los archivos y la base reemplazados completos desde la copia, no el parche encima de lo infectado, el sitio devuelto a su estado sano conocido. El caso sin respaldo limpio es el difícil: la limpieza manual del sitio infectado, los archivos comparados contra los originales, el malware extraído pieza por pieza, el trabajo experto de la guía de nulled de esta serie, la limpieza profesional que cuesta exactamente lo que el respaldo ausente ahorró, la lección cara que el checklist de hoy evita mañana, y la verificación post-restauración en ambos casos, el sitio revisado funcional, los escaneos corridos limpios, antes de reabrir nada.
Horas 12 a 24: rotar todo, parchar y reabrir vigilando
La rotación de credenciales es total o es inútil: todas las contraseñas cambiadas, el panel de WordPress de todos los usuarios, el hosting, la base de datos con sus claves de conexión actualizadas, el FTP, los correos asociados, las claves de API de los servicios conectados, la lista completa porque el atacante que tuvo acceso pudo cosechar cualquiera, y los usuarios auditados, los administradores desconocidos eliminados, los legítimos verificados, las llaves de la casa cambiadas todas en la misma tarde. El parche cierra la puerta de entrada: el diagnóstico con la evidencia respaldada, el plugin vulnerable identificado en los logs, la versión desactualizada, la contraseña débil, el nulled de esta serie, la causa encontrada y corregida, las actualizaciones aplicadas completas, el plugin culpable reemplazado, porque restaurar sin parchar es invitar la reinfección de la semana siguiente, el ciclo que los sitios mal rescatados repiten. La reapertura llega con vigilancia: el sitio reabierto, los escaneos programados de los días siguientes, los logs vigilados, la consola de búsqueda revisada con su proceso de reconsideración donde el sitio fue marcado, y el monitoreo reforzado del primer mes, la puerta cerrada verificada cada día.
El después del incidente: la lección que blinda
La semana posterior cierra el ciclo con aprendizaje: el análisis de la evidencia respaldada, cómo entraron exactamente, la cronología reconstruida con los logs, el informe simple del incidente, qué pasó, qué se hizo, qué se cambia, el documento que las empresas serias producen, y las correcciones estructurales derivadas, el mantenimiento del pilar contratado si no existía, las actualizaciones automatizadas con respaldo, el inventario de plugins depurado, las contraseñas con gestor, la autenticación reforzada en los accesos críticos.
La reputación también se repara activa: la consola de búsqueda con su revisión solicitada donde hubo marca, las listas negras verificadas y los retiros pedidos, el correo del dominio monitoreado de vuelta a la normalidad. El incidente bien cerrado deja el sitio más fuerte que antes: la paradoja del peor día que, con protocolo, termina pagando la madurez digital que faltaba.
Preguntas frecuentes
¿Cuánto cuesta recuperar un sitio hackeado?
El rango depende del seguro previo: el sitio con respaldos limpios y este protocolo se recupera en horas con costo acotado, el trabajo del día, y el sitio sin respaldos con limpieza manual experta cuesta varias veces más, [DATO-KOM: el rango referencial de una recuperación profesional según la experiencia de KOM, fechado], la matemática del pilar donde el mantenimiento anual cuesta menos que un solo incidente sin seguro. La prevención sigue siendo la compra inteligente.
¿Aviso a mis clientes que mi web fue hackeada?
Depende de qué tocó el incidente: el desfiguro sin datos comprometidos se comunica con sobriedad si fue visible, la web tuvo un incidente y ya está resuelta, y el compromiso de datos personales activa otra liga, las obligaciones del marco de protección de datos evaluadas con asesoría, la notificación donde corresponda. La honestidad calibrada protege la confianza: el silencio descubierto daña más que el aviso sereno.
¿El hosting no debería haberme protegido?
El hosting filtra su capa y no reemplaza la tuya: el servidor compartido decente bloquea ataques genéricos, y la puerta típica es del sitio, el plugin desactualizado, la contraseña débil, el nulled, las causas que viven en tu instalación, la responsabilidad compartida del modelo. El reclamo procede cuando la falla fue del servidor: los logs respaldados sostienen esa conversación con evidencia.
¿KOM atiende emergencias de sitios hackeados?
Es parte del servicio técnico: el protocolo de esta guía ejecutado con manos expertas, la restauración o la limpieza profunda según el caso, el parche y la vigilancia posterior, cotizados en el cotizador online con los precios públicos de siempre. El peor día se acompaña: el protocolo con experiencia convierte la catástrofe en mal rato resuelto.
Tu siguiente paso: imprime o guarda el checklist de esta guía y verifica hoy tu seguro, el respaldo automático funcionando y probado, la preparación de una hora para el día que ojalá no llegue. La recuperación profesional se cotiza en el cotizador online: el hackeo se resuelve con protocolo y no con pánico, y la diferencia entre ambos se decide hoy, mientras tu sitio está sano y tu cabeza está fría.
