Qué hacer si mi página web fue hackeada

Tu página no solo “se cayó”. Puede estar mandando spam, redirigiendo a otro sitio o mostrando una alerta de malware a tus clientes.
Y mientras pasa eso, tu negocio pierde confianza, llamadas y ventas.
Si te preguntas qué hacer si mi página web fue hackeada, necesitas actuar en orden. No improvisar.

El problema no es solo técnico. Es comercial.
Un sitio comprometido puede dañar tu posicionamiento en Google, bloquear formularios, comprometer correos y espantar clientes que sí estaban listos para comprar.

Detecta el alcance del ataque antes de tocar nada

Lo primero es confirmar qué pasó. No todos los “hackeos” se ven igual. A veces el sitio muestra una página rara. A veces el daño está escondido. A veces el cliente ve el problema, pero tú no desde tu dispositivo porque el malware está condicionado por país, navegador o usuario.

Señales comunes de que tu página fue hackeada:

  • Tu sitio redirige a otra web
  • Google marca “Este sitio podría haber sido hackeado”
  • Aparecen pop-ups, anuncios o enlaces que tú no pusiste
  • El administrador ya no entra
  • El hosting reporta consumo anormal de recursos
  • Tus formularios envían spam
  • Tu web está en lista negra de antivirus o navegadores

Antes de borrar archivos o reinstalar todo, revisa el alcance. Si tienes acceso al panel, guarda evidencias. Capturas de pantalla. Fechas. Mensajes de error. Logs del servidor si están disponibles. Esto ayuda a entender si fue una inyección de malware, una contraseña filtrada, un plugin vulnerable o acceso al hosting.

En México, muchos negocios creen que “alguien entró al WordPress” cuando en realidad el problema fue una contraseña débil o un plugin desactualizado por meses. Un sitio pequeño con WordPress, WooCommerce o un CMS estándar puede ser atacado en minutos si tiene extensiones viejas. No necesitas ser una gran marca para que te busquen. Los bots atacan de forma masiva.

Corta el daño de inmediato

Cuando el sitio está comprometido, el objetivo no es “arreglarlo bonito”. Es contener.
Si el ataque sigue activo, cada minuto cuenta. Puede seguir enviando spam, robando datos o dañando la reputación del dominio.

Haz esto en este orden:

  1. Pon el sitio en modo mantenimiento o apágalo temporalmente si puedes.
  2. Cambia contraseñas de administrador, hosting, FTP/SFTP, base de datos y correo.
  3. Revoca accesos de usuarios que no reconozcas.
  4. Desconecta integraciones sospechosas.
  5. Si usas WordPress, desactiva plugins y temas que no sean esenciales.
  6. Contacta al proveedor de hosting y pide revisión de seguridad inmediata.

Si tienes una copia limpia reciente, no la restaures todavía sin revisar. Restaurar una copia infectada solo te devuelve el problema.
También evita hacer cambios sin registro. Si borras archivos a ciegas, luego será más difícil saber cómo entraron.

Si tu página está conectada a WhatsApp, CRM, Mailchimp, formularios o pasarelas de pago, revisa esas cuentas también. Un sitio hackeado a veces es solo la puerta de entrada. El verdadero daño aparece después: correos comprometidos, leads perdidos o cobros inseguros.

Recupera el acceso sin empeorar el problema

Muchas empresas en CDMX, Guadalajara o Monterrey tienen el mismo error: intentan limpiar el sitio desde el panel que ya está comprometido. Eso puede empeorar la infección.
Si el atacante dejó una puerta trasera, volverá a entrar aunque cambies el diseño.

La recuperación correcta depende del tipo de sitio, pero normalmente incluye:

  • Revisar usuarios administradores
  • Analizar archivos del core, plugins y tema
  • Comparar archivos con una versión limpia
  • Buscar código inyectado en encabezados, pies de página y archivos PHP
  • Revisar la base de datos por scripts o enlaces extraños
  • Eliminar backdoors y scripts ofuscados
  • Cambiar llaves de seguridad y tokens

En WordPress, por ejemplo, el malware suele esconderse en archivos como functions.php, wp-config.php, plugins nulificados o carpetas uploads. También puede injectarse en la base de datos para que vuelva a aparecer después de limpiar archivos visibles.

Si no tienes un respaldo confiable, lo más sensato es reconstruir desde una versión limpia.
Y si el sitio vende, pide a tu equipo o agencia que primero priorice estas partes:

  • Home
  • Catálogo o servicios
  • Formularios de contacto
  • Checkout o cotización
  • Páginas con tráfico orgánico

El objetivo es recuperar operación, no solo apariencia.

Protege tu marca mientras resuelves el incidente

Cuando tu sitio fue hackeado, el daño no se limita al servidor. También afecta la percepción de tu marca.
Si un cliente entra desde Google y ve una advertencia de seguridad, probablemente no regresa. Si recibe spam desde tu dominio, menos.

Por eso debes cuidar la comunicación.
Si el sitio estará fuera de línea varias horas o más, coloca un aviso simple y honesto. No expliques de más. Solo comunica que estás atendiendo una incidencia técnica y que los canales alternos siguen activos.

Ejemplo para un negocio mexicano:

  • “Estamos realizando mantenimiento por una incidencia técnica. Si necesitas atención, escríbenos por WhatsApp al número habitual.”
  • “Nuestro sitio presenta un problema de seguridad y lo estamos resolviendo. Puedes cotizar por correo o WhatsApp mientras tanto.”

También revisa tu correo corporativo. Si usan el mismo dominio afectado, puede haber riesgo de que tus mensajes terminen en spam o que Google y otros proveedores marquen tus comunicaciones como sospechosas.
Si vendes por internet, avisa a tu equipo comercial. Nadie debe prometer tiempos o precios en canales inseguros sin saber si el sitio ya está bajo control.

Un caso común en México: negocios de servicios que dependen de formularios web para cotizaciones. Si el formulario fue alterado, los prospectos siguen llenándolo, pero el lead no llega. Pierdes oportunidades sin darte cuenta. Por eso la revisión debe incluir pruebas reales de envío después de limpiar.

Revisa si hubo fuga de datos o impacto legal

No todos los hackeos son iguales. Algunos solo alteran la apariencia. Otros exponen datos de clientes.
Si tu sitio maneja nombres, teléfonos, correos, direcciones, historial de pedidos o datos de pago, la situación cambia.

Debes revisar:

  • Qué tipo de datos almacena tu sitio
  • Si el atacante tuvo acceso a base de datos
  • Si se comprometieron formularios de contacto o registros
  • Si hay evidencia de descarga o extracción masiva
  • Si se usaron cuentas de administrador para exportar información

En México, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares obliga a cuidar la información de tus clientes. Si hubo exposición de datos, documenta el incidente y consulta asesoría legal o de cumplimiento según el caso.

Esto no significa entrar en pánico. Significa actuar con orden.
Haz una lista de qué información pudo verse afectada, desde cuándo, quién tenía acceso y qué medidas tomaste. Si tienes comercio electrónico, revisa también si las pasarelas de pago siguen operando de forma segura y si ningún script extraño se insertó en la página de checkout.

Si vendes servicios, puede que el daño no sea financiero directo. Pero sí reputacional. Un sitio inseguro hace que el cliente dude. Y en mercados competitivos eso basta para perder una venta.

Evita que vuelva a pasar con medidas reales

Limpiar el sitio una vez no resuelve el problema de fondo.
Si no corriges la causa, te va a volver a pasar.

Las medidas básicas que sí importan son:

  • Actualizar CMS, plugins y temas
  • Eliminar extensiones que no uses
  • Usar contraseñas fuertes y únicas
  • Activar autenticación de dos pasos
  • Limitar intentos de login
  • Restringir permisos de archivos
  • Tener backups automáticos y probados
  • Revisar accesos de usuarios cada mes
  • Monitorear cambios en archivos críticos

Si tu página corre en WordPress, la combinación más común de riesgo en México es simple: tema comprado barato, plugins sin mantenimiento y acceso compartido entre varias personas. Eso abre la puerta al malware.
Un sitio corporativo que factura bien no debería depender de instalaciones improvisadas o de un “sobrino que le mueve”. Ese modelo sale caro.

También conviene contratar monitoreo.
Un servicio básico de seguridad puede costar desde 800 a 2,500 MXN al mes según el tipo de sitio, el nivel de protección y si incluye limpieza, respaldos y monitoreo. Una limpieza de emergencia, en cambio, puede ir de 3,000 a 15,000 MXN o más, dependiendo del daño, si hay e-commerce, si hay restablecimiento de backups y si el hosting está afectado.
Es más barato prevenir que reconstruir.

Otro punto clave es el hosting.
Un hosting barato no siempre es el problema, pero un servidor mal administrado sí puede agravar todo. Si tu web comparte recursos con demasiados sitios o no tiene aislamiento adecuado, un ataque lateral puede propagarse. Para negocios que ya venden, vale la pena revisar si tu infraestructura está a la altura.

Cuándo pedir ayuda profesional de inmediato

Hay casos en los que no conviene intentar resolverlo por tu cuenta.
Si tu web fue hackeada y ocurre cualquiera de estas situaciones, necesitas apoyo técnico especializado:

  • El sitio sigue redirigiendo después de borrar archivos
  • Google ya bloqueó tu dominio
  • No puedes entrar al admin
  • El hosting suspendió la cuenta
  • Se comprometieron formularios o pagos
  • Hay sospecha de robo de datos
  • El malware reaparece después de limpiar
  • Tu equipo no sabe identificar la causa

Si tu negocio depende del sitio para cotizar, vender o generar leads, el tiempo perdido cuesta más que una revisión profesional. Un sitio fuera de línea dos días puede significar campañas detenidas, leads perdidos y clientes que se van con alguien más.

La diferencia entre una limpieza improvisada y una recuperación bien hecha está en el diagnóstico.
Primero se identifica cómo entraron. Luego se cierra la puerta. Después se limpia. Y al final se endurece la seguridad para que no vuelva a pasar.

Si tu empresa está en CDMX y ya vende, tu página no debería verse como un proyecto “en pausa”. Debe operar como parte del negocio. Igual que tu punto de venta, tu CRM o tu sistema de cobro.
Cuando falla, el impacto es real.

Tu sitio fue hackeado. Eso ya pasó.
Ahora toca contener, limpiar, recuperar y blindar.

¿Tu negocio necesita esto? Comenzamos con una conversación. weblynmx.com/diagnostico