Malware-en-Wordpress

Malware en WordPress ¿Cómo nos dimos cuenta?

En el mundo digital, la seguridad no es un lujo, es una necesidad. En nuestra agencia vivimos recientemente un caso de malware en wordpress que ilustra perfectamente esta realidad: un ataque silencioso que logró evadir firewalls, pasar inadvertido por los escáneres de seguridad y que solo descubrimos gracias a una alerta de Google Ads.

Queremos compartir esta experiencia con nuestra comunidad. El objetivo no es solo contar una historia, sino aportar aprendizaje, generar conciencia y ayudarte a proteger tu propio sitio web.

El aviso inesperado: Google Ads nos alerta de Malware en WordPress

Todo comenzó cuando recibimos una notificación de Google Ads indicando que nuestras campañas estaban siendo rechazadas porque el sitio web redirigía tráfico hacia una página de medicinas.

Lo sorprendente fue que, a primera vista, el sitio funcionaba con normalidad. No había pantallas extrañas ni mensajes evidentes de hackeo. Pero Google —con sus filtros de seguridad avanzados— detectó que algo ocurría detrás del código.

Malware-en-Wordpress-googleMalware-en-Wordpress-google

Ese fue el primer aprendizaje:

👉 A veces, los problemas de seguridad se revelan no por síntomas visibles en tu web, sino por alertas externas como las de Google Ads, navegadores o incluso clientes que perciben algo extraño.

La investigación: un archivo oculto en el servidor

Revisando a fondo con acceso SSH al servidor, encontramos algo inusual:

Una carpeta oculta llamada .tduqeilm.

Dentro de ella, un archivo PHP sospechoso: keccxwhw.php.

Este archivo estaba configurado como auto_prepend_file, es decir, se ejecutaba antes que cualquier otro archivo de WordPress. Eso le daba al atacante el poder de inyectar código malicioso sin necesidad de modificar los archivos principales.

La carpeta incluso tenía permisos alterados, lo que complicaba eliminarla. Este tipo de técnica es sofisticada y diseñada para evadir herramientas comunes de detección.

¿Por qué no lo detectaron Wordfence o Sucuri?

Teníamos instalados dos de los plugins de seguridad más conocidos:

  1. Wordfence, que protege mediante firewall y escaneo de archivos.
  2. Sucuri, que refuerza la seguridad y monitorea cambios.

Ambos son potentes, pero en este caso el atacante modificó directamente configuraciones del servidor (user.ini) y colocó el archivo en una carpeta oculta fuera de las rutas más habituales.

Esto explica cómo pudo burlar los escáneres automáticos: no siempre rastrean configuraciones personalizadas o directorios ocultos en cuentas de hosting compartido.

👉 Segundo aprendizaje:

Los firewalls y plugins son fundamentales, pero no infalibles. La seguridad requiere una estrategia de múltiples capas.

El proceso de limpieza

Identificación del archivo: usando comandos de búsqueda detectamos referencias a auto_prepend_file.

Revisión de .user.ini: descubrimos que apuntaba al archivo malicioso en lugar del legítimo de Wordfence.

Eliminación de referencias: corregimos los .user.ini para restaurar la configuración original.

Bloqueo de accesos sospechosos: ajustamos permisos y revisamos logs para identificar patrones de ataque

Monitoreo posterior: instalamos un script de verificación automática con cron jobs para revisar semanalmente si aparecen nuevos archivos ocultos.

Checklist rápido para detectar hackeos en tu web

Si tienes sospechas o quieres prevenir un ataque, aquí tienes un checklist práctico:

Revisa si existen carpetas ocultas en tu servidor (empiezan con un punto).
Comprueba tus archivos .htaccess y .user.ini para detectar redirecciones o auto_prepend_file extraños.
Escanea el sitio con más de una herramienta de seguridad (Wordfence, Sucuri, Malwarebytes).
Monitorea los mensajes de Google Ads, Search Console y navegadores (suelen detectar redirecciones maliciosas antes que tú).
Mantén un registro de cambios en el servidor y activa alertas automáticas.
Haz copias de seguridad frecuentes y guárdalas fuera del hosting.

Plugins de seguridad: comparativa rápida

Existen varias opciones para reforzar la seguridad y evitar tener Malware en WordPress. Aquí te damos un vistazo rápido:

Wordfence

Firewall integrado.
Bloqueo por IP en tiempo real.
Escaneo de malware en archivos del core, temas y plugins.

Sucuri Security

Monitoreo de integridad de archivos.
Escaneo remoto.
Protección contra DDoS (versión premium).

iThemes Security

Refuerza contraseñas y accesos.
Detecta múltiples intentos de login.
Registra actividades sospechosas.

👉 Nuestra recomendación:

Usar al menos uno principal (Wordfence o Sucuri) y complementarlo con configuraciones manuales de seguridad en el servidor.

Preguntas frecuentes (FAQ)

¿Por qué mi web puede ser hackeada si soy un negocio pequeño?

Los atacantes suelen automatizar sus intentos de acceso. No importa si tu web es grande o pequeña: lo que buscan son puertas abiertas.

¿Un hackeo siempre se nota a simple vista?

No. Muchos ataques son silenciosos: redirigen tráfico, insertan links ocultos o roban datos sin alterar la apariencia de tu web.

¿Cómo saber si Google ya marcó mi sitio como inseguro?

Puedes verlo en Google Search Console o al intentar navegar en Chrome/Firefox (aparecerá una advertencia roja).

¿Un plugin de seguridad es suficiente?

Es esencial, pero no suficiente. También debes tener actualizaciones al día, backups y monitoreo en servidor.

¿Qué impacto puede tener un hackeo en mi negocio?

Desde la pérdida de campañas publicitarias (como nos pasó en Ads), hasta daño a tu reputación, caída en SEO y pérdida de clientes.

Del miedo a la acción

Los temas de ciberseguridad tienden a generar ansiedad y miedo. Sin embargo,  sabemos que el miedo por sí solo no motiva la acción: lo que realmente activa la decisión es mostrar la solución y la sensación de control.

Por eso, en lugar de solo asustarte con historias de hackeos, queremos transmitirte un mensaje claro:

👉 Con las medidas correctas, puedes blindar tu sitio y evitar que tu negocio digital se vea afectado.

Conclusión: la seguridad es parte de tu estrategia digital

Nuestro caso nos recordó una verdad clave: el marketing digital y la seguridad van de la mano.

De nada sirve invertir en campañas, SEO o contenidos si tu web está comprometida.

Hoy este sitio está limpio, seguro y monitoreado. Y esta experiencia, aunque desafiante, nos permitió reforzar nuestra propuesta de valor: acompañar a las marcas no solo en su crecimiento digital, sino también en su protección.

Si quieres asegurarte de que tu sitio web esté protegido mientras escalas tus campañas de marketing, en Marketing75 podemos ayudarte a implementar soluciones que combinan crecimiento y seguridad digital.

Agenda una sesión gratuita con nuestro equipo y y evita que un ataque silencioso detenga tu negocio.

google Malware en Wordpress
Augusto Antonio Fuentes Tedy
Augusto Antonio Fuentes Tedy

Con más de 24 años de experiencia en operaciones industriales y consultoría estratégica, ayudo a las empresas a superar desafíos con soluciones reales, escalables y alineadas a sus metas. Integro la mejora continua y la optimización de procesos con gestión de equipos y estrategias de marketing digital para impulsar un crecimiento rentable y sostenible. Mi compromiso es ofrecer un acompañamiento cercano, con propuestas innovadoras y eficaces que permitan a tu negocio destacarse y seguir creciendo en un mercado en constante evolución.