En agosto de 2025, se ha detectado una campaña cibernética que está explotando más de 100 sitios WordPress comprometidos para redirigir a sus visitantes hacia páginas falsas de verificación CAPTCHA. Esta amenaza ha sido denominada ShadowCaptcha por la Agencia Nacional Digital de Israel.
¿Cómo Funciona ShadowCaptcha?
La campaña comienza cuando un usuario visita un sitio WordPress infectado que ha sido inyectado con código JavaScript malicioso. Este código inicia una cadena de redirecciones que lleva al usuario a una página de CAPTCHA falsa, diseñada para parecer legítima, imitando servicios como Cloudflare o Google.
A partir de aquí, el ataque se bifurca en dos caminos:
Uno usa el diálogo de ejecución de Windows para lanzar installadores MSI que infectan el sistema con programas maliciosos como los stealers Lumma y Rhadamanthys.
El otro guía al usuario para que guarde una página como una Aplicación HTML (HTA) y la ejecute con mshta.exe, lo que culmina en la instalación del ransomware Epsilon Red.
Técnicas y Objetivos de ShadowCaptcha
ShadowCaptcha combina técnicas de ingeniería social, el uso de herramientas legítimas de Windows (LOLBins) y múltiples etapas de carga de malware para obtener y mantener acceso en los sistemas afectados.
Los atacantes buscan principalmente:
Robar credenciales e información sensible desde el navegador.
Instalar mineros de criptomonedas para generar ganancias ilícitas.
Desplegar ransomware que puede cifrar y bloquear los archivos de las víctimas.
Una característica destacada es que estos ataques usan comandos que se copian automáticamente al portapapeles del usuario sin su interacción, confiando en que el usuario los pegue y ejecute sin sospechar.
Distribución y Sectores Afectados
Los sitios WordPress comprometidos por ShadowCaptcha se encuentran mayormente en países como Australia, Brasil, Italia, Canadá, Colombia e Israel. Los sectores afectados incluyen tecnología, hostelería, finanzas, salud y bienes raíces.
Medidas de Mitigación Recomendadas
Para protegerse de ShadowCaptcha y amenazas similares, se recomienda:
Capacitar a los usuarios para identificar campañas de ingeniería social como ClickFix.
Segmentar redes para limitar el movimiento lateral de los atacantes.
Evolución del Fraude en WordPress
Además, la campaña ShadowCaptcha se relaciona con otra amenaza llamada Help TDS, un sistema de distribución de tráfico malicioso activo desde 2017, que utiliza plugins falsos para redirigir a los usuarios y robar credenciales, demostrando cómo estos ataques evolucionan para ser cada vez más sofisticados y difíciles de detectar.
Este panorama evidencia la importancia de fortalecer la seguridad en WordPress y la vigilancia constante ante nuevas tácticas de ciberataques que combinan engaños y abusos de herramientas legítimas para lograr sus objetivos maliciosos.
Una pregunta común es cómo bloquear ciertos rastreadores, arañas web o bots para que no accedan a tu sitio. Puedes hacerlo utilizando el archivo robots.txt, pero se sabe que algunos rastreadores web ignoran esta solicitud. Una forma más confiable de bloquear bots es usar tu archivo .htaccess.
¿Qué son los rastreadores web?
Los rastreadores web, a menudo conocidos como arañas o bots, navegan sistemáticamente por la web y realizan tareas automatizadas en tu sitio. Pueden realizar tareas como:
Comprobar enlaces en tu contenido hacia otros sitios web
Validar tu código HTML para verificar errores
Guardar información como el número de sitios a los que enlazas o que enlazan a tu sitio
Almacenar tu sitio y contenido en un “archivo”
Algunos bots son más maliciosos y buscarán en tu sitio web direcciones de correo electrónico o formularios para enviarte spam o incluso buscarán riesgos de seguridad en tu código.
Lo que necesitas para comenzar a bloquear rastreadores web
Antes de que puedas comenzar a bloquear rastreadores web utilizando .htaccess, necesitarás algunas cosas:
Tu sitio debe estar en un servidor Apache. Nuestros servidores cPanel trabajando todos con Apache salvo el servidor LiteSpeed. En nuestros servidores Apache podrán crear o modificar un archivo .htaccess.
Necesitas acceso a los registros sin procesar del servidor de tu sitio para poder encontrar los nombres de las arañas web que deseas bloquear (a menos que ya sepas cuáles son). En cPanel proporcionamos la herramienta AwStats que permite revisar las estadísticas de visitas que recibió su sitio web.
Nota: a menos que bloquees todos los bots que intentan acceder a tu sitio web, nunca podrás bloquearlos por completo. Constantemente se crean nuevos bots y se modifican los existentes para eludir cualquier cosa que coloques en tu archivo .htaccess. Lo mejor que puedes esperar es dificultar el acceso a los bots malintencionados que quieren enviarte spam o hackearte.
Bloqueo de robots en tu archivo .htaccess
Para comenzar, necesitas descargar tu archivo .htaccess mediante FTP y hacer una copia de seguridad en caso de que necesites restaurarlo más tarde. Los ejemplos a continuación te mostrarán cómo bloquear bots utilizando la dirección IP o la cadena del User-Agent.
Bloqueo por dirección IP
Puedes bloquear IPs específicas en .htaccess fácilmente usando el siguiente código:
Order Deny,Allow
Deny from 127.0.0.1
Obviamente, deberás cambiar 127.0.0.1 por la dirección IP que deseas bloquear. Order Deny,Allow simplemente significa que si el servidor web recibe una solicitud que coincide con la regla Deny, la denegará. Si no coincide, la permitirá.
La segunda línea le indica al servidor que niegue cualquier solicitud proveniente de 127.0.0.1, lo que generará un mensaje de Forbidden (Prohibido) en lugar de mostrar la página solicitada.
Puedes agregar más direcciones IP añadiendo más líneas Deny from en tu .htaccess:
Order Deny,Allow
Deny from 127.0.0.1
Deny from 215.146.3.3
Deny from 190.86.1.1
Bloqueo de bots por cadena de User-Agent
La forma más fácil de bloquear rastreadores web por cadena de User-Agent es utilizar una función especial integrada en Apache llamada RewriteEngine. Puedes detectar fácilmente los User-Agents y enviarles un error 403 Forbidden. Supongamos que queremos bloquear algunos bots de motores de búsqueda:
Este código toma una lista de condiciones (RewriteCond) y les aplica una regla.
F significa Forbidden (Prohibido), lo que genera un error 403.
L significa que es la última regla del conjunto, por lo que no se evaluarán más reglas después de esta.
Guardando los cambios
Una vez que hayas hecho los cambios y bloqueado los bots o IPs que desees, puedes guardar el archivo .htaccess y subirlo a tu servidor, sobrescribiendo el archivo original.
Puedes mantener el archivo actualizado a medida que necesites bloquear nuevos bots o IPs. Si cometes un error, puedes revertirlo utilizando el archivo .htaccess original o simplemente eliminando las reglas agregadas.
El tema “Alone – Charity Multipurpose Non‑profit”, muy popular para organizaciones y ONG, tiene una falla de seguridad grave identificada como CVE‑2025‑5394, con una puntuación de 9.8 sobre 10. Esta vulnerabilidad ha sido explotada activamente por atacantes, permitiendo tomar el control total de sitios web sin necesidad de autenticación previa.
¿En qué consiste la vulnerabilidad?
El error se encuentra en la función alone_import_pack_install_plugin() del tema, que no verifica permisos de usuario ni usa mecanismos anti‑CSRF.
Cualquier persona puede ejecutar una llamada AJAX que ordene al sitio descargar e instalar un plugin malicioso desde una URL controlada por el atacante.
Así es posible ejecutar código remoto (RCE), cargar web shells, backdoors o archivos PHP maliciosos para tomar control completo del sitio, crear cuentas de administrador ocultas, redirigir a páginas maliciosas o minar criptomonedas.
Versiones afectadas y actualizaciones
Todas las versiones hasta la 7.8.3 inclusive están vulnerable.
La versión corregida, 7.8.5, fue publicada el 16 de junio de 2025.
Según Wordfence, se detectaron más de 120.900 intentos de explotación desde el 12 de julio de 2025, dos días antes de la divulgación pública.
Cómo puede afectarte
Un atacante puede:
Robar información sensible (datos de usuarios, clientes, etc.)
Inyectar malware o redireccionar tráfico
Crear cuentas administrativas encubiertas
Usar los recursos del servidor para actividades ilícitas
Desfigurar o eliminar el sitio por completo
Recomendaciones rápidas para proteger tu sitio
Actualiza ya el tema Alone a la versión 7.8.5 o superior si lo utilizas.
Audita los plugins instalados: elimina los que no reconozcas o estén inactivos.
Revisa usuarios con rol de administrador: elimina cuentas sospechosas o desconocidas.
Verifica los registros de acceso (logs) buscando solicitudes a /wp-admin/admin-ajax.php?action=alone_import_pack_install_plugin
Ten siempre copias de seguridad recientes y confiables para restaurar rápidamente en caso de ataque.
Implementa un WAF (Web Application Firewall) para bloquear intentos de explotación conocidos.
Realiza auditorías de seguridad periódicas, incluidos escaneos de malware y análisis de integridad.
Limita los tipos de archivo que se puedan subir (bloquea .php, .exe, etc.) y controla los permisos del directorio de subida.
Resumen
La vulnerabilidad CVE‑2025‑5394 en el tema Alone es una alerta roja para quienes utilizan WordPress en entornos profesionales o públicos. Si empleas este tema, actualiza de inmediato a la versión parcheada 7.8.5, auditá tus plugins y usuarios, y adopta una postura de seguridad proactiva para evitar compromisos serios.
WordPress es el sistema de gestión de contenidos (CMS) más popular, con un 43,2 % de todos los sitios web funcionando con su software. Desafortunadamente, su popularidad atrae a todo tipo de ciberdelincuentes que aprovechan las vulnerabilidades de seguridad de la plataforma.
Esto no significa que WordPress tenga un sistema de seguridad deficiente, ya que las brechas de seguridad también pueden ocurrir por la falta de conciencia en los usuarios sobre este tema. Por lo tanto, lo mejor es aplicar medidas de seguridad preventivas antes de que tu sitio web se convierta en un objetivo para los hackers.
Aquí hablaremos sobre métodos para mejorar la seguridad de WordPress y proteger tu sitio frente a diversos ciberataques.
Buenas prácticas generales para mejorar la seguridad del sitio web
1. Actualizar la versión de WordPress regularmente
WordPress lanza actualizaciones de software de forma regular para mejorar el rendimiento y la seguridad, protegiendo tu sitio de amenazas cibernéticas.
Actualizar la versión de WordPress es una de las formas más simples de mejorar la seguridad de tu sitio. Sin embargo, el 35,3 % de los sitios WordPress funcionan con una versión antigua, lo que los hace más vulnerables.
Para comprobar si tenés la última versión de WordPress, iniciá sesión en el área de administración de tu sitio y navegá hasta Escritorio → Actualizaciones en el panel de menú de la izquierda. Si aparece que tu versión está desactualizada, te recomendamos actualizarla lo antes posible.
También recomendamos actualizar los temas y plugins instalados en tu sitio WordPress. Los temas y plugins desactualizados pueden generar conflictos con el núcleo actualizado de WordPress, causar errores y hacer que tu sitio sea más propenso a amenazas de seguridad.
Automatizá las actualizaciones para evitar que tu sitio funcione con software obsoleto. Con las actualizaciones automáticas de WordPress, los usuarios de Hostinger pueden hacerlo fácilmente desde el panel de control hPanel.
Navegá hasta WordPress → Seguridad.
Andá a la sección de actualizaciones automáticas de WordPress y seleccioná actualizaciones inteligentes (Smart auto-updates).
Con el panel de personalización abierto, elegí tus preferencias de actualización para el núcleo de WordPress, los temas y los plugins. Las opciones disponibles para cada uno son: Sin actualizaciones, Solo actualizaciones de seguridad o Todas las actualizaciones.
Hacé clic en el botón Guardar.
2. Usar credenciales seguras para iniciar sesión en WP-Admin
Uno de los errores más comunes que cometen los usuarios es utilizar nombres de usuario fáciles de adivinar, como “admin”, “administrator” o “test”. Esto pone tu sitio en mayor riesgo de sufrir ataques de fuerza bruta. Además, los atacantes también utilizan este tipo de ataque para dirigirse a sitios WordPress que no tienen contraseñas seguras.
Por lo tanto, recomendamos que tu nombre de usuario y contraseña sean únicos y más complejos.
Alternativamente, podés seguir estos pasos para crear una nueva cuenta de administrador de WordPress con un nuevo nombre de usuario:
Desde el Escritorio de WordPress, navegá hasta Usuarios → Añadir nuevo.
Creá un nuevo usuario y asignale el rol de Administrador. Añadí una contraseña y hacé clic en el botón Añadir nuevo usuario una vez que termines.
Incorporá números, símbolos y letras mayúsculas y minúsculas en tu contraseña. También recomendamos usar más de 12 caracteres, ya que las contraseñas largas son mucho más difíciles de descifrar.
Si necesitás ayuda para generar una contraseña segura, podés usar herramientas en línea como 1Password. También podés usar sus servicios de gestión de contraseñas para almacenarlas de forma segura, así no tenés que memorizarlas.
Después de crear un nuevo nombre de usuario administrador en WordPress, deberás eliminar el antiguo. Seguí estos pasos:
Iniciá sesión con las nuevas credenciales de usuario que acabás de crear.
Navegá hasta Usuarios → Todos los usuarios.
Buscá tu antiguo nombre de usuario administrador, hacé clic en Eliminar y asigná su contenido al nuevo usuario cuando el sistema lo solicite.
3. Configurar una lista blanca y una lista negra para la página de administración
Podés restringir el acceso a tu página de inicio de sesión configurando el archivo .htaccess de tu sitio. Para ello, navega hasta el directorio raíz de tu instalación de WordPress y accede a dicho archivo.
Antes de hacer cualquier cambio, te recomendamos encarecidamente hacer una copia de seguridad del archivo .htaccess original. Así, si algo sale mal, podrás restaurar tu sitio fácilmente.
Agregar esta regla a tu archivo .htaccess limitará el acceso a wp-login.php a solo una o varias direcciones IP específicas. De esta forma, los atacantes no podrán acceder a la página de inicio de sesión desde otras ubicaciones.
# Bloquear IPs para login - Apache 2.2
<files /wp-login.php>
order deny,allow
allow from MI_IP
allow from MI_IP2
deny from all
</files>
# Bloquear IPs para login - Apache 2.4
<Files "wp-login.php">
Require all denied
</Files>
⚠️ Esta regla debe colocarse después de las líneas # BEGIN WordPress y # END WordPress para evitar que WordPress la sobrescriba.
Esta regla también se puede aplicar incluso si no tenés una IP estática, ya que podés restringir los inicios de sesión a un rango de IPs común de tu proveedor de internet (ISP).
Además, podés usar esta misma lógica para restringir el acceso a otras URL que requieren autenticación, como /wp-admin.
4. Usar temas de WordPress confiables
Los themes nulled (nulificados) de WordPress son copias no autorizadas de temas premium. Pueden parecer una opción económica, pero presentan muchos problemas de seguridad.
La mayoría de los temas nulled son versiones modificadas por hackers que incorporan código malicioso, como malware o enlaces de spam. Estos temas también pueden crear puertas traseras (backdoors) que permiten nuevos ataques a tu sitio WordPress.
Además, como los temas nulled son ilegales, no recibirás soporte de los desarrolladores originales. Si algo sale mal, tendrás que resolverlo por tu cuenta.
Para mantener tu sitio seguro, usá temas del repositorio oficial de WordPress o de desarrolladores de confianza.
5. Instalar un certificado SSL
El protocolo SSL (Secure Sockets Layer) cifra los datos que se intercambian entre tu sitio web y los visitantes, mejorando la seguridad frente al robo de información por parte de atacantes. Los sitios que cuentan con un certificado SSL utilizan el protocolo HTTPS en lugar de HTTP, lo que los hace fácilmente identificables.
La mayoría de las empresas de hosting incluyen un certificado SSL en sus planes. Aquí en Sitios Hispanos lo hacemos.
Una vez instalado, cambiá la URL de tu sitio de HTTP a HTTPS. Para hacerlo, navegá a Ajustes → Generales y actualizá las direcciones en los campos Dirección de WordPress (URL) y Dirección del sitio (URL).
6. Eliminar plugins y temas de WordPress que no se utilicen
Mantener plugins y temas sin uso en tu sitio puede ser perjudicial, especialmente si no han sido actualizados. Los plugins y temas desactualizados aumentan el riesgo de ciberataques, ya que los hackers pueden aprovechar sus vulnerabilidades para acceder a tu sitio.
Seguí estos pasos para eliminar un plugin que no estés utilizando:
Navegá a Plugins → Plugins instalados.
Verás la lista de todos los plugins instalados. Hacé clic en Eliminar debajo del nombre del plugin.
🔔 Tené en cuenta que el botón de “Eliminar” solo estará disponible después de desactivar el plugin.
Mientras tanto, estos son los pasos para eliminar un tema que no estés usando:
Desde el escritorio de administración de WordPress, andá a Apariencia → Temas.
Hacé clic sobre el tema que querés eliminar.
Se abrirá una ventana emergente con los detalles del tema. Hacé clic en el botón Eliminar en la esquina inferior derecha.
¿Por qué es necesario asegurar un sitio web en WordPress?
Si tu sitio WordPress es hackeado, corrés el riesgo de perder datos importantes, recursos valiosos y, sobre todo, credibilidad. Además, estos problemas de seguridad pueden poner en peligro la información personal y los datos de pago de tus clientes.
Se estima que el costo de los daños por ciberdelitos podría alcanzar los 10,5 billones de dólares anuales para el año 2025. Seguramente no querrás convertirte en un objetivo de hackers y formar parte de esa estadística.
Según la base de datos de vulnerabilidades de WPScan, estos son algunos de los tipos más comunes de vulnerabilidades de seguridad en WordPress:
Cross-Site Request Forgery (CSRF) – Obliga al usuario a ejecutar acciones no deseadas en una aplicación web en la que confía.
Ataque de denegación de servicio distribuido (DDoS) – Satura los servicios en línea con conexiones no deseadas, volviendo el sitio inaccesible.
Bypass de autenticación – Permite que los atacantes accedan a los recursos del sitio sin verificar su identidad.
Inyección SQL (SQLi) – Obliga al sistema a ejecutar consultas SQL maliciosas para manipular datos en la base de datos.
Cross-Site Scripting (XSS) – Inyecta código malicioso que convierte al sitio en un distribuidor de malware.
Inclusión de archivos locales (LFI) – Obliga al sitio a procesar archivos maliciosos alojados en el servidor web.
Conclusión
Los ciberataques pueden adoptar muchas formas, desde la inyección de malware hasta ataques DDoS. Los sitios web construidos con WordPress son especialmente populares entre los hackers debido a la gran cantidad de usuarios que utilizan este CMS. Por eso, es fundamental que los propietarios de sitios WordPress sepan cómo protegerlos.
Sin embargo, asegurar un sitio WordPress no es una tarea que se hace una sola vez. Es necesario evaluarlo y reforzarlo continuamente, ya que las amenazas evolucionan constantemente. El riesgo siempre estará presente, pero puedes aplicar medidas de seguridad en WordPress para reducirlo considerablemente.
Fortalecer la seguridad en la pantalla de inicio de sesión de WordPress es esencial para prevenir accesos no autorizados y proteger tu sitio. Aunque no existen plugins exclusivos para incorporar preguntas de seguridad en el inicio de sesión, es posible lograr un nivel de protección similar implementando la autenticación multifactor (MFA). Una opción recomendada es el plugin miniOrange Multi Factor Authentication, que permite integrar métodos como aplicaciones de autenticación, correos electrónicos, códigos y preguntas de seguridad personalizadas.
¿Por qué es importante añadir una capa adicional de seguridad en WordPress?
Incorporar una segunda capa de protección en el acceso a WordPress refuerza la seguridad contra ataques de fuerza bruta y accesos no deseados. La MFA, que puede incluir preguntas de seguridad personalizadas, asegura que únicamente los usuarios autorizados puedan ingresar, incluso en caso de que sus contraseñas sean vulneradas. Por esta razón, aquí te explicamos cómo añadir preguntas de seguridad para reforzar el acceso a tu sitio WordPress.
Paso 1: Instalar el plugin miniOrange Multi Factor Authentication
Para habilitar la autenticación multifactor en tu sitio WordPress, el primer paso es instalar el plugin miniOrange Multi Factor Authentication desde el repositorio oficial de WordPress. Sigue estos pasos:
Ingresa al panel de administración de tu sitio WordPress.
Dirígete a Plugins > Añadir nuevo.
En el buscador, escribe “miniOrange Multi Factor Authentication” y selecciona el plugin correspondiente.
Haz clic en Instalar ahora y, una vez completada la instalación, selecciona Activar.
Paso 2: Configurar las opciones de autenticación multifactor
Tras activar el plugin, accede a la configuración para personalizar el método de autenticación que deseas implementar, incluyendo preguntas de seguridad. Para ello:
En el panel de administración, selecciona miniOrange 2-Factor en el menú lateral.
En la página de configuración, explora las diferentes opciones de autenticación disponibles, como:
Aplicaciones de autenticación (como Google Authenticator).
OTP por correo electrónico (código de un solo uso enviado por email).
Preguntas de seguridad personalizadas.
Verificación por SMS.
Para habilitar preguntas de seguridad, elige la opción Security Questions, sigue las instrucciones para configurarlas y activa este método de verificación. De esta manera, podrás reforzar la seguridad del inicio de sesión en tu sitio WordPress con preguntas personalizadas.
Paso 3: Personaliza las preguntas de seguridad
Configurar preguntas de seguridad para el inicio de sesión en WordPress es una medida recomendada para mejorar la protección de tu sitio. Sigue estos pasos para activarlas y personalizarlas:
Dentro de la sección Security Questions del plugin, selecciona preguntas predeterminadas o crea tus propias preguntas personalizadas.
Establece la cantidad de preguntas que los usuarios deberán responder y personaliza tanto las preguntas como las respuestas según lo necesites.
Guarda los cambios para finalizar la configuración.
A partir de este momento, los usuarios deberán responder correctamente a estas preguntas para completar el proceso de inicio de sesión.
Paso 4: Asigna métodos de autenticación según los usuarios
Además de implementar preguntas de seguridad, puedes configurar distintos métodos de autenticación para diferentes roles de usuario en WordPress. Por ejemplo, es posible habilitar la autenticación multifactor (MFA) solo para administradores y editores. Para hacerlo:
Accede a miniOrange 2-Factor > Usuarios en el menú del panel de administración.
En esta sección, asigna los métodos de autenticación requeridos a cada usuario según sus roles.
Si deseas que todos los usuarios respondan preguntas de seguridad, asegúrate de habilitar esta opción para los roles correspondientes en la configuración del plugin.
Con estas configuraciones, puedes personalizar la seguridad de inicio de sesión en tu sitio WordPress de manera flexible y efectiva.
Paso 5: Verifica el funcionamiento de la autenticación multifactor
Una vez configuradas las preguntas de seguridad en el acceso a WordPress, es importante asegurarte de que todo opere correctamente. Sigue estos pasos para realizar una prueba:
Cierra sesión en tu cuenta de administrador.
Intenta iniciar sesión nuevamente y verifica que se muestre la pantalla de autenticación con la pregunta de seguridad u otro método configurado.
Completa el proceso de verificación y asegúrate de que funciona sin inconvenientes.
Si encuentras problemas, revisa la configuración del plugin para confirmar que cada usuario tenga habilitada la autenticación multifactor (MFA).
Preguntas frecuentes sobre autenticación multifactor en WordPress
¿Qué hacer si un usuario olvida la respuesta a su pregunta de seguridad? El administrador puede restablecer la autenticación desde el perfil del usuario en la sección de Usuarios o a través de la configuración del plugin miniOrange. Además, es posible configurar métodos de respaldo para este tipo de situaciones.
¿Es posible habilitar varios métodos de autenticación simultáneamente? Sí, el plugin miniOrange permite configurar múltiples métodos de autenticación. Puedes ofrecer opciones como preguntas de seguridad, Google Authenticator o códigos enviados por correo electrónico para que los usuarios elijan.
¿Se puede desactivar temporalmente la autenticación multifactor? Si es necesario, puedes desactivar temporalmente MFA desde la configuración del plugin en miniOrange 2-Factor o desactivando el plugin en la sección de Plugins.
Recomendaciones adicionales de seguridad para WordPress
Además de las preguntas de seguridad, considera implementar las siguientes medidas para mejorar la protección de tu sitio:
Usa contraseñas robustas: Asegúrate de que todos los usuarios tengan contraseñas largas y complejas.
Implementa un firewall y protección antimalware: Complementa la seguridad con herramientas como Wordfence para prevenir amenazas.
Mantén todo actualizado: Asegúrate de instalar las actualizaciones de WordPress y los plugins regularmente para evitar vulnerabilidades.
Conclusión
Aunque añadir preguntas de seguridad en WordPress no es una práctica estándar, el plugin miniOrange Multi Factor Authentication te permite integrarlas dentro de un enfoque moderno de autenticación multifactor. Este método no solo incluye preguntas de seguridad, sino también opciones como códigos de un solo uso y autenticación con aplicaciones móviles. Siguiendo estos pasos, puedes fortalecer significativamente la seguridad de tu sitio y proteger la información de tus usuarios de manera efectiva.
Revisar si un tema de WordPress contiene código malicioso es una medida esencial para proteger tu sitio web. Aunque es poco común encontrar software malicioso en temas premium obtenidos legalmente, nunca está de más tomar precauciones. Los desarrolladores responsables de temas de pago suelen enfocarse en ofrecer productos seguros y bien optimizados.
La situación cambia cuando se trata de temas gratuitos o versiones premium descargadas desde sitios no oficiales. En estos casos, aumenta significativamente la probabilidad de que el código incluya elementos dañinos, lo cual puede afectar tanto la integridad de tu sitio como la experiencia de tus usuarios.
Por eso, antes de instalar cualquier tema, es clave saber cómo examinarlo correctamente para evitar comprometer tu web.
¿Por qué se incluye código malicioso en algunos temas?
La presencia de código malicioso no es accidental. Existen diferentes motivaciones por las cuales ciertos desarrolladores o ciberdelincuentes insertan código oculto en los archivos del tema. Algunas de las razones más frecuentes incluyen:
Obtener enlaces forzados hacia otros sitios.
Mostrar anuncios sin autorización.
Redirigir a los visitantes a páginas fraudulentas o con contenido indeseado.
Crear accesos ocultos para tomar control del sitio más adelante.
Estas acciones no solo dañan el rendimiento del sitio, sino que también afectan tu reputación digital y pueden hacer que los motores de búsqueda marquen tu web como peligrosa.
Por ello, es crucial tomar medidas de prevención antes de instalar cualquier plantilla en tu WordPress.
Pasos para identificar código malicioso en un tema WordPress
Antes de activar un nuevo tema en tu sitio, especialmente si no proviene del repositorio oficial de WordPress o de una fuente reconocida, te recomendamos seguir estos pasos:
1. Verificá la fuente desde donde descargarás el tema
Un primer filtro útil es hacer una búsqueda en Google sobre la página que ofrece el tema. Por ejemplo, podés buscar:
nombredelsitio malware
nombredelsitio código malicioso
Esto puede darte pistas sobre si otros usuarios han tenido problemas con ese sitio o si existen advertencias en foros o blogs.
Ejemplo: si estás considerando descargar desde un dominio como temasgratispro.com, buscá frases como:
"temasgratispro.com" malware
"temasgratispro.com" problemas de seguridad
Si hay comentarios negativos o alertas, lo más seguro es evitar ese sitio.
2. Escanea el archivo ZIP del tema antes de instalarlo
Si ya descargaste el tema, no lo instales directamente. Primero, analizá el archivo comprimido con herramientas como VirusTotal. Este servicio permite subir archivos para comprobar si contienen virus, troyanos o fragmentos de código sospechoso.
Aunque este tipo de escaneo no siempre detecta amenazas avanzadas, representa un primer filtro importante para evitar infecciones.
Otras formas de revisar un tema antes de usarlo
Además de escanear el archivo descargado, podés aplicar estas estrategias adicionales para detectar posibles amenazas:
3. Usar servicios online para escanear archivos o URLs
Una vez que tengas el tema descargado o instalado en un sitio de pruebas, podés usar plataformas como:
Siempre que sea posible, utilizá una instalación de WordPress en un entorno aislado (como un subdominio o un servidor local) para verificar el comportamiento del tema antes de aplicarlo en tu sitio principal.
Esto te dará la oportunidad de detectar comportamientos extraños, como redirecciones automáticas o aparición de enlaces no deseados, sin poner en riesgo tu web principal.
Aquí tenés una versión reescrita y original, con el mismo mensaje esencial pero redactada desde cero para evitar problemas de derechos de autor:
5. Complementa con plugins de seguridad en WordPress
Además de los mecanismos que ofrece tu hosting, puedes reforzar la seguridad desde el propio panel de administración de WordPress utilizando plugins especializados. Algunos de los más conocidos son:
Wordfence Security
Sucuri Security
Estos plugins permiten escanear los archivos del sitio en busca de malware, scripts ocultos o alteraciones sospechosas. Aunque no siempre son la solución más ligera para todos los sitios, pueden resultar útiles como complemento, especialmente si no cuentas con herramientas más avanzadas.
Eso sí, no sustituyen un análisis manual ni las precauciones previas al instalar un tema.
6. Verifica si el tema presenta vulnerabilidades conocidas
Antes de instalar cualquier tema, incluso si proviene de fuentes oficiales, conviene investigar si existen fallos de seguridad asociados con él. Sitios como PatchStack ofrecen bases de datos públicas donde podés ingresar el nombre del tema y ver si se han registrado vulnerabilidades en sus versiones.
Esto te permite detectar si existen problemas graves como:
Brechas de seguridad explotables.
Accesos no autorizados (backdoors).
Fallos que podrían permitir inyecciones de código.
Además, estos portales también indican si el desarrollador ha corregido el problema mediante actualizaciones, lo que te ayuda a tomar una decisión informada antes de instalar el tema.
7. Revisa si hay presencia de código ofuscado
Una señal de alerta común en temas maliciosos es la presencia de código ofuscado. Esta técnica consiste en alterar el código para que sea difícil de leer y entender, lo cual suele utilizarse para ocultar funciones dañinas como:
Para identificar este tipo de código, puedes revisar los archivos PHP y JavaScript del tema en busca de fragmentos sospechosos, como cadenas codificadas en Base64, funciones sin nombres claros, o bloques largos de texto incomprensible.
Aunque no siempre indica algo malicioso, el uso de ofuscación en un tema que debería ser transparente es, al menos, motivo de desconfianza. En caso de duda, es mejor optar por otro tema más claro y confiable.
¿Mi tema es seguro? Checklist final
Si completaste todos los pasos anteriores —revisaste la fuente del tema, lo analizaste con herramientas, comprobaste posibles vulnerabilidades y descartaste código sospechoso—, puedes tener una buena certeza de que el tema no presenta código malicioso.
Aun así, seguí estas buenas prácticas para reforzar tu seguridad:
✅ Descargá temas solo desde el repositorio oficial de WordPress.org, donde pasan por una revisión manual.
✅ Comprá temas directamente en los sitios oficiales de los desarrolladores. Evita revendedores o páginas no verificadas.
❌ No instales versiones “gratuitas” de temas premium. Estas versiones pirateadas suelen incluir malware escondido.
✅ Probá el tema en un entorno de pruebas antes de activarlo en tu sitio principal. Usa herramientas online y escáneres para validar su seguridad.
Aplicando estas medidas, reducirás considerablemente el riesgo de que un tema comprometa la seguridad de tu sitio WordPress.
Cross-Site Request Forgery (CSRF), conocido en español como falsificación de petición en sitios cruzados, es una de las amenazas más insidiosas para sitios web modernos, incluyendo aquellos basados en WordPress y alojados en servidores con cPanel. Este artículo explica cómo funciona CSRF, su impacto específico en WordPress y las mejores prácticas para prevenirlo.
¿Qué es un ataque CSRF?
Un ataque CSRF ocurre cuando un atacante logra que un usuario autenticado realice, sin saberlo, acciones no autorizadas en un sitio web en el que está logueado. El truco está en aprovechar la confianza que el sitio tiene en el navegador del usuario: si el usuario está autenticado, el navegador enviará las cookies de sesión en cualquier petición, incluso si la petición fue originada maliciosamente desde otro sitio.
Ejemplo práctico:
Imagina que eres administrador de un sitio WordPress y recibes un correo sospechoso con un enlace. Si haces clic en ese enlace mientras sigues autenticado en tu sitio, podrías ejecutar una petición que cambie la configuración del sitio o cree un nuevo usuario administrador, todo sin darte cuenta.
CSRF en WordPress
WordPress, por su popularidad y extensibilidad, es un blanco frecuente para ataques CSRF. Muchos plugins y temas han presentado vulnerabilidades por no implementar correctamente las protecciones necesarias, como los tokens de seguridad. De hecho, según reportes recientes, CSRF ha sido una de las vulnerabilidades más comunes en plugins de WordPress
Errores comunes en plugins WordPress:
Un error típico es el mal uso de la función check_ajax_referer(). Si no se implementa correctamente, el plugin puede aceptar peticiones sin verificar la autenticidad del usuario, permitiendo así que el ataque CSRF tenga éxito.
Revisar permisos y roles: Limitar el acceso a funciones críticas solo a usuarios de confianza.
Auditoría de plugins: Utilizar herramientas como WPScan para identificar vulnerabilidades en plugins instalados.
Cerrar sesión al terminar: Es fundamental salir de la sesión cuando no se esté utilizando para evitar que comandos maliciosos se ejecuten en segundo plano.
Evitar hacer clic en enlaces sospechosos: No interactuar con correos o enlaces de origen dudoso mientras se está autenticado en el panel de control o WordPress.
Resumen
CSRF es un ataque que explota la confianza entre el navegador del usuario y el sitio web, permitiendo ejecutar acciones no autorizadas sin el consentimiento del usuario. Tanto WordPress como cPanel han sido objetivos frecuentes, pero con la implementación de nonces, cookies SameSite y actualizaciones constantes, es posible mitigar significativamente este riesgo. La seguridad es una responsabilidad compartida entre desarrolladores, administradores y usuarios finales.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.
Cuando tu sitio web es hackeado, el malware no solo se esconde en los archivos del servidor, sino también en la base de datos. Los atacantes suelen inyectar scripts maliciosos que afectan la funcionalidad del sitio, roban datos o incluso redirigen a los usuarios a sitios peligrosos.
En este artículo, te explicamos cómo detectar y eliminar malware de una base de datos hackeada en WordPress siguiendo un proceso paso a paso.
¿Qué es el Malware en una Base de Datos?
El malware en la base de datos consiste en código malicioso inyectado en tablas como wp_posts, wp_options o incluso en campos de usuario. Este código puede incluir:
Scripts de redireccionamiento.
Inyecciones de spam SEO.
Backdoors ocultas.
Usuarios administradores falsos.
Detectarlo y eliminarlo a tiempo es fundamental para evitar daños mayores.
Pasos para Limpiar Malware de una Base de Datos Hackeada
Realiza una Copia de Seguridad Completa
Antes de comenzar cualquier proceso de limpieza, asegúrate de realizar una copia de seguridad completa de:
La base de datos.
Los archivos del servidor.
Esto te permitirá revertir los cambios si algo sale mal.
📌 Consejo: Usa herramientas como phpMyAdmin o por comandos MySQL desde la terminal para exportar la base de datos.
Identifica Actividad Sospechosa en la Base de Datos
Una vez que tengas la copia de seguridad, busca actividad sospechosa en las siguientes tablas:
Tabla
Contenido
wp_posts
Contenido de las publicaciones.
wp_options
Configuración del sitio.
wp_users
Usuarios registrados.
Busca indicios de malware como:
Código JavaScript inyectado en los campos de texto.
En los últimos meses, se ha detectado una creciente detección de código malicioso, incrustado en la base de datos de WordPress bajo la tabla wp_options, específicamente en la fila:
Al inyectarse en la base de datos en lugar de en los archivos de temas o complementos, el malware evita que las herramientas de escaneo de archivos comunes lo detecten, lo que le permite persistir silenciosamente en los sitios de WordPress afectados. El JavaScript malicioso se encontró inyectado en el widget de bloque HTML a través del panel de administración de WordPress ( wp-admin > widgets ).
Utiliza Consultas SQL para Detectar Malware
Ejecuta consultas SQL para buscar patrones sospechosos en la base de datos.
🧪 Ejemplo de Consulta SQL para Buscar Scripts Maliciosos en wp_posts:
SELECT * FROM wp_posts
WHERE post_content LIKE '%<script>%';
🧪 Consulta para Buscar Usuarios Administradores Falsos:
SELECT * FROM wp_users
WHERE user_login NOT IN ('admin', 'editor', 'author');
Elimina el Malware de Forma Manual
Si encuentras código malicioso, elimínalo manualmente desde phpMyAdmin o mediante consultas SQL.
🧩 Ejemplo para Eliminar Scripts Maliciosos:
UPDATE wp_posts
SET post_content = REPLACE(post_content, '<script>malicious_code</script>', '');/code>
Para prevenir futuros ataques, implementa estas medidas de seguridad:
✅ Mantén tu CMS y plugins actualizados. ✅ Usa contraseñas seguras. ✅ Implementa un firewall de aplicaciones web (WAF). ✅ Monitorea tu sitio en busca de actividad sospechosa.
🔍 Herramientas Útiles para Detectar Malware
Sucuri Security Plugin: Escanea tu sitio en busca de malware y vulnerabilidades.
MalCare: Proporciona limpieza automática de malware.
WP-CLI: Permite ejecutar consultas SQL directamente desde la terminal.
✅ Conclusión
La limpieza de malware en una base de datos hackeada es un proceso crítico para proteger tu sitio web y la información de tus usuarios. Sigue los pasos descritos en esta guía y, lo más importante, refuerza la seguridad de tu sitio para evitar futuros ataques.
Recuerda: La prevención es la mejor defensa contra los hackers. 🛡️
De igual forma, los invitamos a leer los siguientes artículos en inglés, donde hablan con más detalles esta modalidad de ataques:
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
¿Estás recibiendo un mensaje de error que dice “Este sitio contiene software malicioso” en tu sitio web de WordPress?
Si es así, puede que te estés preguntando cómo esto impacta en tu negocio en línea, la reputación de tu sitio web y qué pasos tomar para resolver el problema.
Esta guía detallada te llevará a través de todo lo que necesitas saber sobre cómo solucionar las advertencias de programas dañinos en WordPress.
¿Por qué aparece el error “El sitio al que vas contiene software malicioso”?
En la mayoría de los casos, este error significa que tu sitio web ha sido hackeado por bots, lo que provoca que Google lo marque como inseguro. Si motores de búsqueda como Google y Mozilla Firefox detectan malware en tu sitio, lo señalarán y mostrarán una advertencia para asegurarse de que los usuarios no puedan acceder a él.
La advertencia también puede aparecer si estás mostrando anuncios de redes publicitarias de baja calidad: a veces, estas redes muestran enlaces a sitios web que distribuyen código malicioso.
En definitiva, esta advertencia se muestra para proteger y evitar que los usuarios propaguen malware.
Esto puede generar un efecto dominó. El tráfico a tu sitio web disminuirá si los visitantes no pueden acceder a él. Las posiciones en los motores de búsqueda bajarán, lo que afectará tus ingresos. Además, si tu sitio web es hackeado, tu proveedor de alojamiento podría suspender tu cuenta hasta que se solucione el problema. Y así sucesivamente.
Esperemos que, actuando con rapidez, puedas evitar que todo esto suceda.
Pasos para solucionar el error “El sitio contiene software malicioso”.
Importante: Antes de solucionar la advertencia sobre programas dañinos, asegúrate de hacer una copia de seguridad de tu sitio web en WordPress.
Paso 1: Escanea tu sitio de WordPress en busca de software malicioso
Debes comenzar escaneando tu sitio de WordPress para detectar cualquier malware. (Desde Sitios Hispanos puedes solicitarlo a Soporte Técnico) Luego, puedes proceder a limpiarlo.
Hay dos maneras de hacerlo: manualmente o utilizando un plugin.
El método manual es laborioso, tiene un componente técnico y, sobre todo, no es muy eficaz para limpiar el sitio. Esto se debe a que los hackers ocultan su malware, lo que hace difícil detectarlo manualmente.
Por esta razón, se recomiendan los plugins de seguridad para WordPress para escanear y limpiar tu sitio web.
Las siguientes tres herramientas se pueden utilizar para realizar un escaneo en línea de tu sitio de WordPress y detectar código potencialmente malicioso:
Es común que los sitios web de WordPress tengan varios temas y plugins instalados. ¿Sabías que estos pueden desarrollar vulnerabilidades con el tiempo?
Cuando un plugin o tema instalado en tu sitio es vulnerable, el sitio también se vuelve vulnerable.
Si se descubre una vulnerabilidad, los desarrolladores de software la corrigen rápidamente y lanzan una versión actualizada. Al actualizar a la nueva versión, esta vulnerabilidad será solucionada.
Los hackers pueden engañarte para que abras un enlace malicioso a través de un correo electrónico con un enlace sospechoso o un anuncio falso que parece auténtico.
Al hacer clic en el enlace, serás redirigido a una página web maliciosa. Estas páginas están diseñadas para infectar tu navegador simplemente al visitarlas. Los atacantes luego roban tus credenciales de inicio de sesión utilizando un método conocido como robo de cookies.
Asegúrate de no haber visitado sitios sospechosos en el historial de tu navegador y limpia la caché y las cookies.
Dispositivo infectado
Aunque no ocurre con frecuencia, es una posibilidad a tener en cuenta. Podrías poner en riesgo tu sitio de WordPress si usas un ordenador o dispositivo infectado para acceder a él.
Los hackers infectan ordenadores inyectando malware en varios archivos. Si subes uno de esos documentos a tu sitio web, el hacker podrá comprometerlo.
Asegúrate de que tu dispositivo u ordenador tenga un programa antivirus para garantizar que esté libre de malware.
Contraseñas que no son lo suficientemente seguras
Para adivinar nombres de usuario y contraseñas de sitios web, los hackers usan una técnica conocida como fuerza bruta. Los bots están programados para realizar miles de intentos de inicio de sesión en segundos.
Si tú o los usuarios de tu sitio WordPress establecen contraseñas como “admin” o “password123”, los hackers pueden adivinarlas muy fácilmente.
Siempre debes recordarles a los usuarios de tu sitio que usen una contraseña única y segura.
Paso 3: Mejora la seguridad de tu WordPress
Puedes tomar diversas medidas para proteger tu sitio web siguiendo las recomendaciones de WordPress. Estas acciones de fortalecimiento deben implementarse antes de comenzar una revisión del sitio.
Acciones recomendadas:
Cambia las contraseñas de todos los usuarios y cierra sus sesiones: Asegúrate de que todos los usuarios de tu sitio cambien sus contraseñas por unas seguras y únicas. Además, cierra todas las sesiones activas para evitar accesos no autorizados.
Implementa la autenticación en dos pasos: Agrega una capa adicional de seguridad habilitando la autenticación de dos factores (2FA). Los usuarios necesitarán una contraseña y un código único generado en su dispositivo móvil para acceder al sitio.
Instala un certificado SSL: Asegúrate de que tu sitio utilice HTTPS instalando un certificado SSL. Esto encripta los datos transferidos entre el navegador del usuario y tu servidor, lo que protege la información confidencial como contraseñas y datos personales.
Monitorea tu sitio web: Utiliza herramientas de monitoreo para supervisar tu sitio en busca de actividades sospechosas, intentos de inicio de sesión fallidos y cambios no autorizados en archivos. Algunos plugins de seguridad, como Wordfence o Sucuri, ofrecen funcionalidades de monitoreo continuo.
Implementar estas medidas fortalecerá significativamente la seguridad de tu sitio web y reducirá el riesgo de futuros ataques.
Paso 4: Envía tu sitio para revisión por parte de Google
Una vez que hayas revisado minuciosamente tu sitio web y eliminado cualquier software malicioso, puedes solicitar a Google que elimine la advertencia de los resultados de búsqueda.
La única forma de hacerlo es a través de las herramientas para webmasters de Google (Google Search Console).
Pasos para enviar tu sitio para revisión:
Accede a Google Search Console: Inicia sesión en tu cuenta y selecciona tu sitio web.
Haz clic en el enlace de problemas de seguridad: Dentro del panel de control, busca la sección “Problemas de seguridad”. Aquí aparecerá una lista de los problemas de seguridad detectados por Google, junto con enlaces a recursos para solucionar los problemas.
Si ya has solucionado los problemas, marca la casilla correspondiente y solicita una revisión.
Espera la respuesta de Google: Google revisará tu sitio para verificar que esté limpio. Si todo está en orden, la advertencia será eliminada de los resultados de búsqueda.
Nota: Este proceso puede tomar algunos días, así que asegúrate de que tu sitio esté completamente limpio antes de enviar la solicitud.
Medidas preventivas para evitar advertencias de programas dañinos en el futuro
Implementa estas medidas para proteger tu sitio de WordPress contra futuros ataques:
1. Usa plugins y temas de confianza
Elige siempre plugins y temas de fuentes confiables, y mantenlos actualizados utilizando herramientas como la función de actualización segura de WP Umbrella para evitar vulnerabilidades.
2. Realiza copias de seguridad regularmente
Las copias de seguridad frecuente te aseguran que puedas restaurar tu sitio si ocurre un ataque. Servicios como WP Umbrella automatizan las copias de seguridad y ofrecen opciones de recuperación fáciles.
3. Implementa un cortafuegos de aplicaciones web (WAF)
Un WAF ayuda a bloquear el tráfico malicioso antes de que llegue a tu sitio. Muchos plugins de seguridad incluyen WAF en sus servicios premium, o puedes utilizar plataformas como CloudFlare.
4. Monitorea la seguridad del sitio regularmente
Configura análisis regulares con tu plugin de seguridad para detectar problemas a tiempo. El monitoreo proactivo puede prevenir que amenazas menores se conviertan en problemas mayores.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
Cuando Google señala un sitio como no seguro, se refiere a un proceso en el que clasifica ciertos sitios web como peligrosos para los usuarios. Esto ocurre si identifica actividades sospechosas como la presencia de malware, intentos de phishing o contenido que infringe sus políticas.
Estar en esta lista negra puede ocasionar que tu sitio sea excluido de los resultados de búsqueda o que muestre alertas de seguridad a los visitantes, afectando negativamente tu reputación y tráfico.
¿Qué implica estar en la lista negra de Google y cómo impacta a tu sitio web?
Google utiliza herramientas y algoritmos avanzados para revisar millones de páginas web a diario. Si detecta que tu sitio representa un riesgo para los usuarios, lo marca como inseguro. Esto puede reflejarse de las siguientes maneras:
Alertas en el navegador: Los visitantes reciben mensajes como “Este sitio contiene software malicioso” o “Se ha detectado un sitio engañoso”.
Desaparición en los resultados de búsqueda: Tu página puede ser eliminada de las SERPs (páginas de resultados de búsqueda de Google).
Principales consecuencias:
Reducción drástica del tráfico orgánico.
Pérdida de confianza por parte de los usuarios.
Daño a la reputación de tu marca y disminución de ingresos.
¿Cómo comprobar si tu sitio está en la lista negra de Google?
Para verificar si Google ha marcado tu página, puedes seguir estos pasos:
Google Search Console:
Inicia sesión en tu cuenta.
Accede a la sección “Seguridad y acciones manuales”.
Revisa si hay alertas sobre problemas de seguridad.
Google Safe Browsing:
Ingresa a la herramienta de navegación segura de Google.
Introduce la URL de tu sitio para verificar su estado.
Utiliza herramientas externas para el análisis:
Emplea servicios como Sucuri SiteCheck o VirusTotal para identificar posibles vulnerabilidades o rastros de malware en tu sitio web.
¿Cómo limpiar un sitio de WordPress marcado por Google?
Si tu página ha sido incluida en la lista negra, puedes seguir estos pasos para solucionar el problema y recuperar su estado normal:
Detecta y elimina el malware:
Plugins de seguridad: Instala herramientas como Wordfence o Sucuri Security para realizar un análisis completo de tu sitio y localizar archivos infectados.
Elimina cualquier plugin o tema que ya no uses para minimizar posibles vulnerabilidades.
Asegura tu sitio con un certificado SSL:
Instala un certificado SSL para proteger la comunicación entre tu sitio y sus visitantes. Muchas plataformas ofrecen opciones gratuitas y de pago.
Realiza análisis de seguridad periódicos:
Configura escaneos automáticos para detectar y solucionar problemas de malware de forma proactiva. Desde Sitios Hispanos lo puedes solicitar a soporte técnico.
Establece permisos seguros para los archivos:
Ajusta los permisos de los archivos y directorios en tu servidor para evitar accesos no autorizados.
Haz copias de seguridad regularmente:
Implementa un sistema de respaldos automáticos que te permita restaurar tu sitio rápidamente en caso de incidentes.
Conclusión
Aunque ser incluido en la lista negra de Google puede representar un desafío, con una estrategia adecuada es posible resolver el problema y evitar que ocurra de nuevo. Mantén tu sitio de WordPress actualizado y protegido, y considera usar herramientas adicionales como firewalls y sistemas de copia de seguridad para garantizar su seguridad a largo plazo.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube, para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.
