Los hackeos web representan una amenaza real que puede dañar seriamente la reputación, visibilidad y seguridad de cualquier negocio online. Uno de los ataques más comunes es el conocido como «Japanese SEO Spam Hack», que afecta directamente al posicionamiento orgánico y genera cientos o miles de páginas falsas con contenido en japonés. Pero, ¿qué ocurre si no se dispone de una copia de seguridad del sitio? Esta guía expone cómo actuar paso a paso para recuperar el sitio, mitigar el daño y evitar futuros incidentes, tanto si se trata de un sitio personalizado como si utiliza un CMS como WordPress.
El proceso de recuperación implica tres pilares fundamentales: limpieza técnica, recuperación SEO y refuerzo de seguridad. Actuar de forma estructurada permitirá restaurar el sitio sin comprometer la integridad de la información legítima y minimizando el impacto negativo en el tráfico y la confianza de los usuarios.
Parte 1 – Protocolo General para Recuperación Post-Hackeo (cualquier tecnología)
1. Diagnóstico inicial: cómo detectar un hackeo en el sitio web
La detección temprana de un ataque es clave para mitigar sus efectos. Un sitio hackeado puede comportarse de manera irregular, tanto para los usuarios como para los motores de búsqueda. En esta fase, se debe observar tanto la interfaz del sitio como su comportamiento en buscadores, tráfico web y alertas de seguridad.
Títulos o descripciones en japonés en Google (utilizando site:tudominio.com).
Páginas que redirigen a sitios extraños o pornográficos.
Avisos en Google Search Console (penalización manual o detección de malware).
Ralentización del sitio, errores 5xx frecuentes o picos de tráfico inusuales.
Estas señales indican que el sitio ha sido comprometido y se debe actuar de inmediato para frenar la propagación del contenido malicioso y proteger la reputación digital.
2. Limpieza del sitio web sin backup
Cuando no se dispone de una copia de seguridad, cada acción debe realizarse con máxima precaución para no eliminar contenido legítimo. Se recomienda trabajar con copias locales del contenido antes de modificarlo directamente.
A. Eliminación de archivos maliciosos en el servidor
Acceder al servidor vía FTP, SFTP o cPanel.
Identificar archivos desconocidos o sospechosos en carpetas como /public_html/, /app/, /includes/, /assets/, etc.
Reemplazar archivos del núcleo del sistema si se dispone del CMS (Joomla, Drupal, Magento…). En entornos personalizados, restaurar archivos conocidos manualmente.
Buscar código malicioso en archivos .php, .js, .html, utilizando funciones como eval(), base64_decode(), gzinflate().
Muchos atacantes aprovechan la laxitud en los permisos de archivos para esconder puertas traseras. Cualquier archivo con nombre genérico, fecha reciente o que no pertenezca al desarrollo original debe ser revisado minuciosamente.
B. Limpieza de la base de datos
Acceder a la base de datos mediante phpMyAdmin o línea de comandos.
Revisar tablas que almacenan contenido (posts, articles, products, options, etc.).
Buscar contenido inyectado: enlaces externos, términos en japonés, scripts.
Eliminar registros y usuarios no reconocidos.
Algunos ataques inyectan datos mediante SQL para insertar enlaces spam en múltiples páginas. En estos casos, una exportación de la base de datos en .SQL puede facilitar la búsqueda de patrones sospechosos mediante editores de texto.
3. Refuerzo de seguridad
Implementar medidas preventivas tras la limpieza es crucial para evitar reinfecciones. En esta etapa no basta con recuperar el sitio: hay que blindarlo.
Cambiar contraseñas de todos los accesos: FTP, base de datos, hosting, backend.
Instalar herramientas de seguridad o firewalls si el CMS lo permite.
Configurar reglas en .htaccess, nginx.conf o .env para restringir accesos sensibles.
Revisar permisos de archivos y carpetas (por ejemplo, 644 y 755 en entornos Linux).
También se recomienda activar servicios de monitorización externa o usar servicios CDN con protección WAF como Cloudflare.
4. Recuperación del SEO
Un ataque SEO puede provocar la caída de rankings, la pérdida de tráfico y la penalización del dominio. La recuperación requiere tiempo y una estrategia sólida.
Revisar Search Console: informe de cobertura, acciones manuales, seguridad.
Regenerar sitemap.xml con URLs limpias.
Corregir títulos y descripciones.
Eliminar URLs falsas con código 410 o mediante robots.txt.
Solicitar reconsideración a Google si se ha recibido penalización.
Además, se recomienda analizar con herramientas como Ahrefs o SEMrush qué páginas han perdido visibilidad y cuáles fueron atacadas para priorizar su recuperación.
5. Creación de una copia de seguridad
Utilizar herramientas como rclone, rsync, scripts cron o gestores de archivos.
Comprimir el proyecto y base de datos en un .zip y almacenar en la nube.
Una política de backups debe incluir automatización, almacenamiento externo y versionado para restaurar estados anteriores en caso de emergencia.
6. Monitorización continua
La ciberseguridad es un proceso, no una acción única. Tras el incidente, debe establecerse un protocolo de vigilancia.
Configurar alertas de seguridad.
Revisar logs del servidor.
Mantener actualizadas las librerías, frameworks y dependencias.
Las auditorías periódicas de seguridad y SEO permitirán anticiparse a nuevas amenazas o errores que comprometan la estabilidad del sitio.
Parte 2 – Caso Específico: Sitios Web en WordPress
En el caso de WordPress, al ser el CMS más utilizado, existen herramientas específicas que facilitan cada paso del proceso. A continuación, se detallan las acciones aplicables en este entorno.
1. Limpieza del servidor en WordPress
Reemplazar las carpetas /wp-admin/ y /wp-includes/ por versiones limpias.
Revisar /wp-content/themes/, /plugins/ y /uploads/ en busca de archivos maliciosos.
Eliminar archivos con funciones maliciosas (eval(), base64_decode(), etc.).
La infección en WordPress suele esconderse en plugins antiguos, temas nulled o archivos en la carpeta de uploads.
2. Limpieza de base de datos en WordPress
Revisar tablas como wp_posts, wp_options, wp_users.
Buscar términos como «viagra», «casino», enlaces no reconocidos.
Eliminar contenido y usuarios sospechosos.
Es importante revisar también las tablas personalizadas que algunos plugins añaden, ya que pueden ser objetivo de los atacantes.
3. Refuerzo con plugins de seguridad
Instalar y configurar Wordfence, Sucuri o iThemes Security.
Cambiar contraseñas de todos los usuarios.
Desactivar XML-RPC si no se utiliza:
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>
Estos plugins permiten bloquear IPs maliciosas, programar escaneos y activar firewalls para filtrar tráfico sospechoso.
4. Reparación SEO específica
Regenerar sitemap con plugins como Yoast o RankMath.
Revisar Search Console.
Solicitar reconsideración si corresponde.
La eliminación del contenido malicioso no garantiza la recuperación del posicionamiento. Será necesario reforzar el enlazado interno y recuperar el tráfico orgánico perdido.
5. Crear backup desde WordPress
Instalar UpdraftPlus, Duplicator u otro plugin.
Generar copias automáticas a Google Drive, Dropbox, etc.
El respaldo debe incluir tanto la base de datos como todos los archivos del sitio, incluyendo los personalizados o subidos por el usuario.
6. Monitorización WordPress
Activar escaneos programados en los plugins de seguridad.
Mantener WordPress, plugins y temas actualizados.
Revisar informes de actividad y tráfico con regularidad.
Plugins como WP Activity Log pueden ayudar a controlar qué acciones realiza cada usuario dentro del administrador.
Conclusión
Un hackeo sin copia de seguridad no implica necesariamente la pérdida total del sitio, pero requiere una actuación rápida, precisa y meticulosa. La combinación de limpieza técnica, recuperación SEO, refuerzo de seguridad y monitorización permite restaurar la presencia digital y reducir el impacto negativo. En situaciones complejas o de alto riesgo, se recomienda contar con el soporte de profesionales especializados en recuperación post-hackeo.
Detectar los síntomas y actuar con rapidez es clave para proteger la reputación y el rendimiento digital de cualquier proyecto.
