Si en tu sitio web de WordPress actualizado a la última versión se están creando usuarios con permisos de administrador sin tu autorización, es probable que tu instalación haya sido comprometida. Este tipo de brechas de seguridad son críticas y deben atenderse de inmediato para evitar daños mayores, como la pérdida de control del sitio o el robo de información.
A continuación, te explicamos paso a paso cómo solucionar este problema y prevenir futuros ataques.
1. Cambia todas las contraseñas
Lo primero es asegurarte de que ningún atacante pueda seguir accediendo a tu sistema:
- Cambia la contraseña del administrador de WordPress.
- Cambia la contraseña del usuario de la base de datos (MySQL).
- Cambia las contraseñas de acceso FTP/SFTP.
- Cambia la contraseña del panel de control del hosting (como cPanel, Plesk, DirectAdmin o InterWorx).
2. Elimina usuarios sospechosos
Accede a la sección Usuarios > Todos los usuarios en el panel de administración de WordPress. Verifica uno por uno los usuarios con rol de administrador. Elimina cualquier cuenta que no reconozcas o que tenga nombres extraños o sospechosos.
3. Revisa el archivo functions.php
El archivo functions.php del tema activo es uno de los lugares donde los atacantes suelen insertar código para crear usuarios automáticamente.
- Accede a
wp-content/themes/como-hayas-llamado-al-child-theme/functions.php. - Busca funciones como
wp_create_user,create_user,add_user_to_blog, o similares. - Si encuentras código que no añadiste tú, elimínalo inmediatamente después de hacer una copia de seguridad.
4. Reinstala WordPress
Incluso si tu instalación está actualizada, los archivos del núcleo de WordPress pueden haber sido modificados. Para asegurarte de que estén limpios:
- Ve a Escritorio > Actualizaciones.
- Haz clic en el botón “Reinstalar ahora”.
Esto reemplazará los archivos del núcleo sin afectar tu contenido.
5. Escanea el sitio en busca de malware
Utiliza un plugin de seguridad para escanear tu sitio en busca de archivos maliciosos o comportamientos sospechosos. Algunas opciones recomendadas son:
Estos plugins pueden detectar puertas traseras, archivos modificados y scripts que permiten la creación de usuarios no autorizados.
También puedes ponerte en contacto con una empresa especializada en Desarrollo y Seguridad en WordPress como es Impulsa3. Nuestros técnicos te ayudarán a recuperar el control de tu sitio web.
6. Revisa los archivos del sitio manualmente
Algunos atacantes insertan scripts en ubicaciones poco comunes. Examina detenidamente:
wp-config.php.htaccess- Archivos en
wp-content/themes/ywp-content/plugins/ - Archivos con nombres extraños o modificados recientemente
También es recomendable revisar el contenido del archivo uploads, aunque normalmente no debería contener scripts ejecutables.
7. Revisa los registros de acceso
Si tu servidor tiene habilitados los registros (logs) de acceso, revisa las direcciones IP y las URLs solicitadas recientemente. Esto te permitirá identificar patrones de ataque y posibles puntos de entrada.
8. Desactiva el registro de usuarios si no lo necesitas
Muchos sitios no requieren que los visitantes se registren. Para evitar que los atacantes aprovechen formularios de registro:
- Ve a Ajustes > Generales.
- Asegúrate de que la opción «Cualquiera puede registrarse» esté desactivada.
9. Implementa un firewall de aplicación web (WAF)
Un firewall de aplicación web ayuda a bloquear ataques antes de que lleguen a WordPress. Algunas opciones son:
- Cloudflare (con reglas de seguridad activadas)
- Sucuri Firewall
Estos servicios también ofrecen protección contra ataques DDoS y escaneos automatizados.
10. Configura la autenticación de dos factores (2FA)
Habilitar la autenticación de dos factores para administradores y usuarios con permisos altos añade una capa adicional de seguridad. Puedes usar plugins como:
- Wordfence (incluye 2FA integrado)
- WP 2FA
11. Mantén WordPress, plugins y temas actualizados
Es fundamental mantener todo el ecosistema actualizado para corregir vulnerabilidades conocidas. Activa las actualizaciones automáticas o realiza revisiones periódicas de:
- Núcleo de WordPress
- Plugins
- Temas
12. Cambia el prefijo de las tablas de la base de datos
Durante la instalación, WordPress usa por defecto el prefijo wp_ para las tablas. Cambiar este prefijo dificulta algunos ataques automatizados.
Este cambio requiere edición del archivo wp-config.php y de todas las tablas en la base de datos, por lo que se recomienda hacer una copia de seguridad antes de proceder.
13. Restaura una copia de seguridad limpia
Si tienes acceso a una copia de seguridad anterior al problema, considera restaurarla. Asegúrate de limpiar cualquier código malicioso antes de volver a poner el sitio en línea.
Conclusión
La aparición de usuarios administradores no autorizados en WordPress es una señal clara de que tu sitio ha sido comprometido. Actuar con rapidez es clave para contener el daño, eliminar puertas traseras y evitar futuros ataques. Además de solucionar el problema actual, es fundamental implementar medidas de seguridad permanentes para proteger tu sitio a largo plazo.
Un aspecto que muchos usuarios pasan por alto es la exposición innecesaria de nombres de usuario reales a través de herramientas de SEO. Por ejemplo, si utilizas plugins como YoastSEO, asegúrate de desactivar el sitemap de autores si tu sitio no tiene múltiples colaboradores o no necesitas mostrar páginas de autor públicamente. Publicar estos sitemaps puede permitir a los atacantes identificar fácilmente los nombres de usuario válidos del sistema, lo cual facilita los ataques de fuerza bruta o enumeración de usuarios.
La seguridad en WordPress no se basa solo en herramientas, sino también en una correcta configuración y monitoreo continuo del entorno. Revisa frecuentemente las configuraciones, los registros y los accesos para garantizar que tu sitio esté protegido de forma proactiva.
