Descubrir que tu sitio WordPress tiene un virus es como encontrar una cucaracha en la cocina: sabes que hay más escondidas y que hay que actuar rápido. En esta guía, te voy a mostrar cómo eliminar virus del WordPress de manera efectiva, incluso si has perdido el acceso al administrador. No es magia, es seguir un proceso ordenado y meticuloso.

Antes de empezar: El salvavidas que no puedes ignorar

Imagina que estás limpiando tu casa y tiras algo importante por error. Por eso, lo PRIMERO es revisar si tienes un backup reciente de tu sitio. Si lo tienes, restaurarlo puede ser la solución más rápida y limpia. Después de restaurar, actualiza TODO: WordPress, temas y plugins. Si no tienes backup, no entres en pánico. Sigue esta guía. Nota importante: Si tu sitio es complejo o el nivel de infección es alto, buscar a un experto es la decisión más inteligente. Un error puede empeorar la situación.

Paso 1: Recuperar el acceso a tu WordPress (si lo perdiste)

Algunos virus son como porteros malencarados: te bloquean la entrada a /wp-admin. Si es tu caso, hay que forzar la puerta de manera segura.

• Accede por el backend: Entra al panel de tu hosting (cPanel, Plesk o similar) y busca el Administrador de Archivos.
• Revisa los archivos clave: Navega a la carpeta principal (usualmente public_html) y examina con lupa estos archivos:
  • index.php
  • wp-config.php
  • .htaccess

Busca código raro, líneas muy largas con caracteres extraños o scripts que no reconoces. Por ejemplo, algo como eval(base64_decode('...')) es una bandera roja enorme. Puedes ayudarte con ChatGPT: Cópiale un fragmento del código sospechoso y pregúntale si parece malicioso o qué función cumple. Elimina solo el código invasor, no el archivo completo.

Paso 2: Limpieza profunda para eliminar virus del WordPress

Una vez dentro, es hora de la desinfección. No basta con barrer, hay que fregar.

• Actualiza TODO: Ve a Plugins y Apariencia > Temas y actualiza todos. Esto sobrescribe archivos alterados con versiones limpias.
• Usa un escáner especializado: Instala WordFence. Su versión gratuita es excelente. Actívalo, haz un escaneo completo y revisa su reporte. Te señalará archivos infectados, backdoors y malware conocido.
• Compara con una instalación limpia: Descarga WordPress fresco desde WordPress.org. Compara los archivos en tu servidor con los de la descarga. Si encuentras archivos fantasma en tu servidor que no vienen en el paquete oficial (ej. wp-admin/backdoor.php), elimínalos.
• Reinstala temas y plugins manualmente:
  • Temas: Si es un tema gratuito, descárgalo de nuevo del directorio de WordPress. Si es premium, bájalo desde la tienda oficial donde lo compraste.
  • Plugins: Sigue la misma lógica. Nada de descargar plugins «premium gratis» de sitios de dudosa reputación; esa es una fuente común de virus en WordPress.

Paso 3: Revisión de usuarios y seguridad

Los virus a veces crean puertas traseras con usuarios falsos.

• Revisa los usuarios: Ve a Usuarios > Todos los usuarios. Borra cualquier usuario Administrador o Editor que tú no hayas creado.
• Cambia TODAS las contraseñas: La de administrador de WordPress, la del hosting y la de la base de datos.
• Cambia la URL de login: Instala un plugin como WPS Hide Login para cambiar /wp-admin por algo único (ej. /mi-acceso-secreto). Esto bloquea muchos ataques automáticos.
• Revoca contraseñas de aplicación: Edita tu usuario administrador, baja a la sección Contraseñas de Aplicación y elimina cualquier clave que no reconozcas.

Paso 4: Inspección de contenido y backdoors ocultos

El virus puede estar escondido en lo que menos imaginas.

• Revisa el contenido: Examina Entradas, Páginas y Comentarios. Busca scripts o iframes inyectados en el HTML, a menudo causan redirecciones maliciosas. Usa el editor de código, no solo el visual.
• Caza el backdoor: Esta es la parte más delicada de eliminar virus del WordPress. Un backdoor es un archivo oculto que permite re-infección. Además de WordFence, puedes usar:
  • Herramientas de hosting: Proveedores como SiteGround incluyen escáneres de seguridad en sus paneles. Úsalos.
  • Plugins de escaneo de código: Anti-Malware Security and Brute-Force Firewall es otra opción sólida y gratuita.
  • Inspección manual en carpetas: Revisa carpetas como /wp-content/uploads/ por archivos con nombres extraños (ej. image.php?cache.php). Los archivos en /wp-content/ que sean .php y no sean de temas/plugins, son sospechosos.

Consideraciones finales y herramientas extra

Para asegurarte de que la limpieza fue completa, piensa como un hacker: ¿dónde me escondería?

• Revisa permisos de archivos: Los archivos no deberían tener permisos 777 (acceso total). 755 para carpetas y 644 para archivos suele ser seguro.
• Monitorea tu sitio: Después de la limpieza, usa Google Search Console para verificar que no haya alertas de seguridad pendientes.
• Más herramientas útiles:
  • Sucuri SiteCheck: Escáner externo gratuito que detecta malware y blacklisting.
  • Secuencias de comandos (.htaccess): Un buen .htaccess puede bloquear accesos maliciosos. Si no eres experto, hay plugins de seguridad que lo gestionan.

Recuerda: La mejor defensa es una buena higiene digital. Mantén todo actualizado, usa contraseñas fuertes y haz backups periódicos. Si quieres profundizar en cómo prevenir estos ataques, te invito a leer nuestra guía completa para proteger tu WordPress. ¡Tu sitio limpio y seguro te lo agradecerá!