WPBeginner - Tutoriales de WordPress para principiantes

Tutoriales de WordPress de Confianza, cuando más los necesitas.
Guía para Principiantes de WordPress
Copa WPB
25 Millones+
Sitios web que usan nuestros plugins
16+
Años de experiencia en WordPress
3000+
Tutoriales de WordPress de expertos

Cómo encontrar y eliminar la inyección de enlaces de spam en WordPress

Por Personal Editorial | | Divulgación del lector

Shares 20 ChatGPT Perplexity X LinkedIn WhatsApp

Imagina esto: Estás revisando las analíticas de tu sitio de WordPress una mañana y algo no parece estar bien. Tu tráfico ha disminuido y descubres que tu sitio está lleno de enlaces de spam que venden de todo, desde bolsos de diseñador falsos hasta productos farmacéuticos cuestionables. 😱

Hemos visto esto de primera mano en sitios web de clientes. De hecho, hemos ayudado a un cliente cuyo sitio web se convirtió en un desastre lleno de spam de la noche a la mañana.

La reputación de todo su negocio estaba en juego, pero logramos limpiarlo, asegurarlo y devolverlo a la normalidad, y te mostraremos exactamente cómo hacer lo mismo.

Cubriremos todo, desde encontrar y solucionar el problema hasta mantener tu sitio protegido en el futuro.

En esta guía completa, repasaremos todo lo que necesitas saber sobre las inyecciones de enlaces de spam en WordPress.

Encontrar y eliminar enlaces de spam en WordPress

Los hackers pueden inyectar enlaces de spam en tu sitio de WordPress cuando obtienen acceso no autorizado a tu contenido.

Piensa en ello como grafitis digitales, excepto que en lugar de ser solo feo, puede dañar seriamente la reputación y el rendimiento de tu sitio.

Cuando tu sitio se infecta, no se trata solo de molestos enlaces de spam. Tus clasificaciones en los motores de búsqueda pueden bajar, lo que te hará perder tráfico valioso y clientes potenciales.

Hemos visto que algunas empresas pierden miles en ingresos porque Google puso temporalmente en lista negra sus sitios comprometidos.

¿La peor parte? Muchos de estos enlaces son invisibles para los visitantes habituales, pero perfectamente visibles para los motores de búsqueda. Pueden estar ocultos en texto blanco, escondidos en tu pie de página o enmascarados por código inteligente. 🕵️

Comprender cómo funcionan estos ataques es el primer paso para proteger tu sitio. En esta guía, te mostraremos cómo limpiar tu sitio web, paso a paso.

¡Empecemos!

⚠️ Advertencia: Intentar limpiar un sitio hackeado sin el conocimiento adecuado puede provocar la pérdida de datos o empeorar el problema. Si no te sientes cómodo limpiando tu sitio tú mismo, considera contratar a un experto en seguridad de WordPress.

Te guiaremos a través del proceso que usamos para descubrir contenido malicioso oculto. Hay varias formas de hacerlo, pero es posible que desees probar todos estos enfoques para no omitir nada.

Opción 1: Encontrar enlaces de spam usando Google Search Console

Google Search Console es tu primera línea de defensa para detectar enlaces de spam. Es una herramienta gratuita de Google que permite a los propietarios de sitios ver cómo se está desempeñando su sitio web en los resultados de búsqueda.

Proporciona muchísima información y tiene excelentes herramientas de diagnóstico que te ayudan a detectar la salud de tu sitio en Google Search. Si aún no lo has configurado, consulta nuestro tutorial completo de Google Search Console.

Una vez que lo hayas configurado, esto es exactamente lo que necesitas hacer.

Primero, inicia sesión en Google Search Console y selecciona tu sitio. Después de eso, navega a la pestaña 'Acciones manuales y seguridad' en la barra lateral izquierda.

Seguridad y acciones manuales de Google Search Console

Aquí, debes buscar cualquier advertencia sobre 'enlaces no naturales' o 'contenido de spam'.

Ten en cuenta que si ves 'No se detectaron problemas', esto no significa necesariamente que tu sitio web esté limpio. Es posible que todavía tengas enlaces de spam que Google aún no ha marcado.

A continuación, deberás consultar el informe 'Enlaces' para identificar cualquier patrón sospechoso.

Informes de enlaces de Google Search Console

Querrás buscar dominios o texto de enlace sospechosos que aparezcan en estos informes. Por sospechoso, nos referimos a cualquier cosa que provenga de un dominio que no reconoces y que no puedes verificar como creíble.

Opción 2. Encontrar enlaces de spam con una revisión manual del sitio

Los hackers son creativos para ocultar sus huellas. Recientemente encontramos enlaces de spam ocultos en el sitio de un cliente usando texto invisible que solo aparecía al seleccionar toda la página.

Los lugares comunes para ocultar incluyen pies de página, dentro de contenido legítimo (especialmente publicaciones antiguas), áreas de widgets y archivos de plantilla.

A veces puedes encontrar enlaces de spam revisando manualmente el código fuente de tu sitio web.

💡Consejo profesional: Usa la función 'Ver código fuente' de tu navegador para buscar enlaces de spam ocultos en el código fuente.

Ver código fuente de la página

Presta especial atención a cualquier código que parezca codificado o revuelto; eso suele ser una señal de alerta. 🚩

Otra forma de localizar estos enlaces es mirando los resultados de búsqueda de Google de las páginas indexadas en tu sitio web.

Si tu sitio ha sido inyectado con spam, es posible que veas enlaces con meta descripciones extrañas, páginas con palabras clave farmacéuticas o caracteres en idiomas extranjeros al revisar los resultados.

Localizar enlaces en los SERP de Google

El problema al encontrar estos enlaces de spam en tu sitio web es que eliminarlos o borrarlos no siempre funciona. Además, este proceso puede consumir mucho tiempo.

Localizar el código malicioso que *causa* estos enlaces de spam es más rápido y efectivo. Explicaremos cómo hacerlo en la siguiente sección.

Opción 3. Localizar código malicioso y enlaces usando escáneres de seguridad

Los plugins de seguridad como Sucuri o Wordfence pueden escanear activamente tu sitio y detectar problemas automáticamente.

Estas herramientas escanean tu sitio en busca de archivos principales modificados, patrones de código sospechosos, firmas de malware conocidas y cambios de archivos no autorizados.

Piénsalos como el guardia de seguridad de tu sitio, constantemente en patrulla en busca de actividad sospechosa. Ejecutar un escaneo puede ayudarte a encontrar puertas traseras ocultas que los hackers puedan haber dejado en tu sitio.

Dependiendo del plugin de seguridad de WordPress que estés utilizando, simplemente inicia un nuevo escaneo para buscar código malicioso.

Por ejemplo, si estás usando Wordfence, deberás ir a Wordfence » Scan y hacer clic en el botón ‘Start New Scan’.

Iniciar nuevo escaneo

Estos plugins son realmente buenos para detectar cambios en archivos y buscar código sospechoso y malicioso.

Al detectarlos, también te mostrarán acciones sugeridas que puedes tomar para solucionar los problemas.

Para más detalles sobre este proceso, consulta nuestra guía para principiantes sobre cómo escanear tu sitio de WordPress en busca de código potencialmente malicioso.

👉 Publicación relacionada: Los mejores escáneres de seguridad de WordPress para detectar malware y hackeos

Una vez que hayas encontrado los enlaces de spam o el código malicioso que inyecta esos enlaces, el siguiente paso es eliminarlos.

Si estás utilizando un plugin de seguridad de WordPress, es posible que te sugiera automáticamente acciones para eliminar esos enlaces.

Acciones de seguridad sugeridas por el plugin de seguridad de WordPress

Sin embargo, a veces eliminar o borrar esos archivos no funciona y tu sitio aún puede mostrar enlaces de spam.

Para una limpieza completa, necesitarás usar múltiples herramientas y técnicas dependiendo de cómo y dónde se insertaron el código y los enlaces maliciosos.

Veremos esas herramientas y cómo usarlas en los siguientes pasos.

Paso 3. Limpieza de la base de datos usando Search & Replace Everything

Ahora que sabes que tu sitio web tiene enlaces de spam, el siguiente paso es limpiarlos.

Es posible que no hayas encontrado cada instancia de estos molestos enlaces de spam. Pero si sabes cómo se ven, es más fácil eliminarlos en masa.

Aquí es donde Search & Replace Everything te será útil.

Es un potente plugin de búsqueda de bases de datos de WordPress que puede buscar en toda tu base de datos de WordPress para encontrar cualquier texto coincidente.

Simplemente instala y activa Search & Replace Everything y luego ve a la página Herramientas » WP Search & Replace.

Encontrar enlaces o texto sospechoso en tu base de datos de WordPress

Necesitas ingresar el enlace o texto sospechoso que encontraste anteriormente en el campo 'Buscar'.

Después de eso, selecciona en qué tablas de la base de datos buscar.

Ahora, simplemente haz clic en el botón 'Vista previa de búsqueda y reemplazo' para ejecutar la búsqueda.

El plugin buscará el término que ingresaste en tu base de datos de WordPress y te mostrará una vista previa de los resultados.

Previsualizar resultados de búsqueda

El plugin te mostrará dónde aparecen esos enlaces. Pueden estar dentro de publicaciones o páginas, comentarios u otras áreas de tu sitio web.

También puedes limpiar enlaces sospechosos usando Search & Replace Everything. Localiza el texto exacto utilizado para insertar el enlace y reemplázalo con una cadena vacía.

Buscar y reemplazar enlaces de spam

ℹ️ Para más detalles, puedes ver nuestro tutorial sobre cómo hacer búsqueda y reemplazo en WordPress.

Si no puedes identificar los enlaces de spam en tu base de datos de WordPress, hay una buena posibilidad de que los enlaces se hayan agregado a los archivos de tu tema o plugin de WordPress.

Hoy en día, la mayoría de los temas y plugins modernos de WordPress vienen con varios archivos, y sería difícil para ti revisar cada uno de ellos manualmente.

Si solo estás usando algunos plugins, la solución más sencilla sería eliminarlos. Puedes hacerlo yendo a Plugins » Plugins instalados. En el menú desplegable 'Acciones masivas', selecciona 'Eliminar' y luego 'Aplicar'.

🚨 Advertencia: Si alguno de tus plugins instalados es responsable de funcionalidades esenciales o elementos de diseño en tu sitio web (como un sistema de pedidos o un pie de página personalizado), entonces no recomendamos este enfoque.

Podría interrumpir aún más las operaciones de tu sitio y hacer que pierdas datos importantes. En este caso, siempre recomendamos contratar expertos en seguridad de WordPress para que se encarguen de tu problema de spam.

eliminar todos los plugins

Después de eso, puedes descargar copias nuevas de esos plugins e instalarlos en tu sitio web. Para obtener detalles, consulta nuestro tutorial sobre cómo desinstalar correctamente un plugin de WordPress.

A continuación, deberá hacer lo mismo para su tema de WordPress. Sin embargo, tenga en cuenta que al eliminar su tema actual de WordPress, puede perder la configuración del tema y tener que configurarlo de nuevo como estaba.

Primero, necesita instalar un tema predeterminado de WordPress. Consulte nuestro tutorial sobre cómo instalar un tema de WordPress para obtener instrucciones.

Los temas predeterminados de WordPress son temas oficiales de WordPress. Generalmente tienen nombres basados en el año en que fueron lanzados, como Twenty Twenty-Five, Twenty Twenty-Four, etc.

⚠️ Nota importante: Si ya tiene un tema predeterminado instalado, no puede usarlo, ya que también podría verse afectado. Necesitará instalar un tema predeterminado nuevo.

Una vez que haya instalado un tema predeterminado nuevo, deberá activarlo.

Activar tema predeterminado

Después de haber activado el tema predeterminado, WordPress le permitirá eliminar cualquier tema inactivo.

Puede hacer clic en su tema anterior y eliminarlo de su sitio web.

Eliminar tema de tu sitio web

Después de eliminar su tema, deberá descargar una copia nueva del mismo de la fuente e instalarla.

Reemplazar los archivos de temas y complementos con copias nuevas asegura que esté trabajando con código limpio y elimina cualquier archivo modificado que pueda contener malware.

Paso 5. Limpieza de archivos críticos

Su instalación de WordPress tiene varios archivos críticos que a los hackers les encanta atacar. El archivo .htaccess es particularmente vulnerable a los hacks de redirección.

Afortunadamente, WordPress puede regenerar el archivo .htaccess por sí mismo. Por lo tanto, simplemente puede conectarse a su sitio web usando un cliente FTP y eliminar el archivo .htaccess, que se encuentra en la carpeta raíz de su sitio web.

Eliminar archivo .htaccess

Si deseas verificar que tu archivo .htaccess se ha regenerado correctamente, consulta nuestra guía sobre cómo arreglar el archivo .htaccess de WordPress.

El archivo wp-config.php es otro archivo crítico de WordPress que los hackers suelen atacar.

Puedes descargar una copia de tu archivo wp-config.php existente como copia de seguridad a tu computadora usando FTP.

Descargar el archivo wp-config.php a tu computadora para editarlo

Luego, deberás ir a WordPress.org y descargar una copia nueva de WordPress a tu computadora.

Descomprime el archivo y, dentro de él, encontrarás el archivo wp-config-sample.php.

A continuación, deberás subir el archivo wp-config-sample.php a tu sitio web usando FTP.

Subir el archivo wp-config-sample.php

Una vez que lo hayas subido, puedes renombrarlo como wp-config.php.

Sin embargo, el archivo wp-config no funcionará, ya que no tiene información importante necesaria para conectarse a tu base de datos de WordPress. Esto incluye tu:

  • Nombre de la base de datos
  • Nombre de usuario y contraseña de la base de datos
  • Host de la base de datos
  • Prefijo de tabla de la base de datos

Puedes copiar esta información del archivo wp-config antiguo que descargaste anteriormente como copia de seguridad. Una vez que hayas agregado la información, necesitas guardar y subir tus cambios.

Para más detalles, consulta nuestro tutorial que explica cómo editar el archivo wp-config.php en WordPress.

Paso 6. Asegura tu sitio después de la limpieza

Ahora que tu sitio está limpio, ¡asegurémonos de que se mantenga así! 🛡️ La seguridad no es algo de una sola vez, es un proceso continuo que requiere atención y mantenimiento.

Cambia TODAS tus contraseñas

Tu primera tarea de seguridad es cambiar cada una de las contraseñas asociadas a tu sitio.

Estos incluyen cuentas de administrador de WordPress, credenciales FTP, contraseñas de bases de datos, inicio de sesión del panel de control de hosting y cualquier cuenta de correo electrónico conectada a tu sitio web.

💡Consejo profesional: Usa un gestor de contraseñas para generar y almacenar contraseñas seguras y únicas. Recomendamos 1Password por sus funciones de seguridad y facilidad de uso.

Configuración de Firewall y Plugin de Seguridad

Usar un firewall y un buen plugin de seguridad es como tener un equipo de seguridad profesional para tu sitio web.

Recomendamos usar estas herramientas:

Publicación relacionada: Los mejores plugins de firewall para WordPress comparados

Configurar copias de seguridad automatizadas

Una vez que tu sitio esté limpio, el siguiente paso es asegurarte de no volver a perder tu arduo trabajo. Las copias de seguridad regulares pueden ahorrarte grandes dolores de cabeza si tu sitio es hackeado, falla o sufre pérdida accidental de datos.

Recomendamos usar Duplicator para configurar copias de seguridad automatizadas para tu sitio de WordPress. Es un plugin potente y fácil de usar que te permite crear copias de seguridad completas y almacenarlas de forma segura.

Duplicator

¿Por qué recomendamos Duplicator?

Usamos Duplicator en muchos de nuestros propios sitios web y hemos descubierto que es la solución de copia de seguridad de WordPress más confiable del mercado. Con Duplicator, puedes:

  • ✅ Automatiza Copias de Seguridad Programadas – Configúralo y olvídate. Duplicator hace copias de seguridad de tu sitio automáticamente a intervalos regulares.
  • ☁️ Guarda Copias de Seguridad en la Nube – Guarda tus copias de seguridad en Google Drive, Dropbox, Amazon S3 y más.
  • 🔄 Restaura con 1 clic – Recupera tu sitio rápidamente con un solo clic si algo sale mal.

Para obtener más información, consulta nuestra detallada reseña de Duplicator. O, si buscas alternativas, puedes ver nuestra selección de los mejores plugins de copia de seguridad de WordPress.

Recupera el control de la seguridad de tu sitio web

Lidiar con inyecciones de enlaces de spam puede parecer difícil, pero recuerda: no estás solo. Ya sea que elijas abordar el problema tú mismo o contratar expertos, lo importante es resolverlo de manera rápida y exhaustiva.

Pero recuerda que la prevención siempre es mejor que el control de daños. Al implementar medidas de seguridad adecuadas y mantenerte vigilante, puedes reducir significativamente el riesgo de futuros ataques.

Piénsalo como una inversión en el futuro de tu sitio, una que te recompensará con tranquilidad y ingresos protegidos.

No dejes que los hackers retengan tu sitio como rehén. ¡Actúa hoy mismo! 💪

Recursos adicionales: Seguridad de WordPress

Mantener tu sitio de WordPress seguro es esencial para el crecimiento de tu negocio. Aquí, hemos reunido algunos recursos útiles que puedes seguir para mejorar la seguridad de tu sitio web:

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para obtener tutoriales en video de WordPress. También puedes encontrarnos en Twitter y Facebook.

Popular en WPBeginner ¡Ahora mismo!

Descargo de responsabilidad: Nuestro contenido es compatible con el lector. Esto significa que si haces clic en algunos de nuestros enlaces, podemos ganar una comisión. Consulta cómo se financia WPBeginner, por qué es importante y cómo puedes apoyarnos. Aquí está nuestro proceso editorial.

El Kit de herramientas definitivo para WordPress

Obtén acceso GRATUITO a nuestro kit de herramientas: ¡una colección de productos y recursos relacionados con WordPress que todo profesional debería tener!

Descargar ahora

Interacciones del lector

Comentarios

  1. Felicidades, tienes la oportunidad de ser el primer comentarista de este artículo.
    ¿Tienes alguna pregunta o sugerencia? Por favor, deja un comentario para iniciar la discusión.

Deja una respuesta

Gracias por elegir dejar un comentario. Ten en cuenta que todos los comentarios son moderados de acuerdo con nuestra política de comentarios, y tu dirección de correo electrónico NO será publicada. Por favor, NO uses palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

Copyright © 2009 - 2025 WPBeginner LLC. Todos los derechos reservados. WPBeginner® es una marca registrada.

Gestionado por Awesome Motive | Hosting de WordPress por SiteGround

La marca WordPress® es propiedad intelectual de la Fundación WordPress. Los usos de los nombres de WordPress® en este sitio web son solo para fines de identificación y no implican un respaldo de la Fundación WordPress. WPBeginner no está respaldado ni es propiedad de, ni está afiliado a, la Fundación WordPress.

Necesito ayuda con…

Búsquedas populares:

Iniciar un Blog SEO de WordPress Rendimiento de WordPress Errores de WordPress Seguridad de WordPress Creando una Tienda en Línea