¿Tu web de WordPress ha sido hackeada? Señales, consecuencias y qué debes hacer

Muchos propietarios de negocios descubren que su web está comprometida semanas después de que ha ocurrido. Para entonces, el daño ya está hecho: posicionamiento perdido, clientes afectados y una posible sanción por incumplimiento del RGPD.

Un hackeo no siempre se anuncia con una pantalla en negro y un mensaje amenazante. En la mayoría de los casos es silencioso, calculado y pensado para que no lo notes hasta que sea demasiado tarde.

Cómo saber si tu web está hackeada

Antes de entrar en pánico, conviene saber qué buscar. Estas son las señales más habituales en sitios WordPress comprometidos:

  • Redirecciones inesperadas. Tu dominio lleva a tus visitantes a otra web: casinos online, plataformas de criptomonedas, farmacia dudosa o contenido para adultos.
  • Contenido extraño en tu web. Aparecen páginas, entradas o enlaces que tú nunca creaste, normalmente con palabras clave en otros idiomas.
  • Advertencia de Google. Al buscar tu dominio, Google muestra el aviso «Este sitio puede dañar tu equipo» o similar.
  • Tu hosting te suspende la cuenta por actividad maliciosa o envío masivo de spam desde tu servidor.
  • El administrador de WordPress ha cambiado o hay usuarios que no reconoces con permisos de administrador.
  • Caída brusca del tráfico orgánico. Google puede desindexar páginas infectadas o penalizar el dominio entero.
  • Lentitud extrema o caídas frecuentes causadas por scripts maliciosos que consumen recursos del servidor.

¿Por qué infectar una web con publicidad de casinos o criptomonedas?

Los atacantes aprovechan la autoridad de tu dominio para posicionar sus propias páginas en Google, sin que tú lo sepas. Tu reputación construida durante años les sirve de trampolín.

En otros casos, redirigen tu tráfico a webs fraudulentas para obtener comisiones de afiliado o robar datos de tus visitantes. Tu negocio paga el coste. Ellos cobran el beneficio.

Lo que implica un hackeo más allá del daño técnico

Un sitio web comprometido no es solo un problema informático. Si tu web recoge cualquier tipo de dato personal —formularios de contacto, registros de usuarios, pedidos, suscripciones a boletín— estás ante una brecha de seguridad en el sentido estricto del RGPD.

Y eso tiene consecuencias legales concretas en toda la Unión Europea.

Tus obligaciones ante el RGPD si tu web es hackeada

  • Notificar a la AEPD en un máximo de 72 horas desde que tienes conocimiento del incidente (art. 33 RGPD). En España, la autoridad competente es la Agencia Española de Protección de Datos.
  • Informar directamente a los usuarios afectados si existe un riesgo alto para sus derechos y libertades (art. 34 RGPD): robo de contraseñas, datos bancarios, información personal sensible.
  • Documentar el incidente internamente aunque decidas que no es necesario notificarlo, el registro es siempre obligatorio.
  • Demostrar que actuaste con diligencia: el RGPD funciona bajo el principio de responsabilidad proactiva. No basta con solucionar el problema; hay que poder probarlo.

No notificar o hacerlo fuera de plazo es una infracción independiente sancionable con multas de hasta 10 millones de euros o el 2 % de la facturación global anual. La AEPD evalúa cada caso, pero la negligencia no tiene excusa.

La comunicación a los afectados puede hacerse por correo electrónico, SMS, carta postal o, cuando no sea posible contactar individualmente con todos, mediante un aviso público destacado en tu web o en medios. Lo importante es que quede constancia de que se realizó y en qué momento.

Qué hacer paso a paso si sospechas que te han hackeado

Protocolo de respuesta ante un hackeo en WordPress

  • Poner el sitio en modo mantenimiento para evitar que los visitantes sigan expuestos
  • Contactar con tu proveedor de hosting y solicitar los logs de acceso
  • Hacer una copia de seguridad del estado actual antes de limpiar (para documentar la brecha)
  • Identificar el vector de entrada: plugin desactualizado, contraseña débil, tema anulado, permisos incorrectos
  • Evaluar si hay datos personales comprometidos y en qué medida
  • Notificar a la AEPD si corresponde, dentro del plazo de 72 horas
  • Informar a los usuarios afectados si el riesgo es alto
  • Limpiar el malware, fortalecer el acceso y hacer seguimiento posterior

La secuencia importa. Limpiar antes de documentar puede eliminar las evidencias que necesitas para cumplir con la normativa o, llegado el caso, para una denuncia ante las autoridades.

La prevención vale más que la recuperación

WordPress alimenta más del 40% de los sitios web del mundo. Es precisamente esa popularidad lo que lo convierte en el objetivo más frecuente de ataques automatizados. Un plugin sin actualizar, una contraseña reutilizada o un tema de origen dudoso son puertas abiertas.

  • Un sitio mantenido es un sitio protegido.
  • Un sitio auditado es un sitio confiable.
  • Un sitio seguro es un sitio que vende.

Desde Cantabria trabajamos con empresas que han pasado por esto y saben lo que cuesta recuperarse: en tiempo, en posicionamiento y en confianza. La buena noticia es que con las medidas adecuadas, todo tiene solución.

¿Tu web de WordPress ha sido comprometida o quieres asegurarte de que no lo esté?

Te ayudamos a recuperar, limpiar y blindar tu sitio. Cuéntanos tu caso y te orientamos sin compromiso.

QReativa

ESTRATEGIA • CONTENIDO • MARCA

AUTOR DEL POST

Picture of Roberto Gonzalez

Roberto Gonzalez

Experto universitario en Seguridad Informática, titulado en Argentina, y diseñador web especializado en WordPress en Qreativa desde hace más de 5 años. Ayudo a crear, optimizar y proteger sitios web profesionales para negocios que quieren crecer con una base digital sólida.

Web Personal
LikedIn
  • Seguridad Informática
  • 03/06/2026

«No vendes un producto.
Vendes una historia que la gente elige creer.»

– QReativa

Newsletter

Suscríbete para recibir noticias, novedades y descuentos sobre marketing digital en Cantabria.

Te enviaremos contenido útil, actualizaciones y oportunidades puntuales relacionadas con marketing, comunicación y crecimiento digital. Nada de spam: solo emails con sentido.

Puedes darte de baja en cualquier momento.

Análisis Gratuito de tu Marca
100% gratuito · Sin compromiso

¿Quieres crecer
en Instagram?

Analizamos tu marca personal de forma gratuita y te decimos exactamente qué mejorar.

  • Sin compromiso
  • Respuesta en 48h
  • Tus datos están seguros