¿Cómo sé si mi sitio WordPress está hackeado?

Un .htaccess limpio de WordPress es corto — unas diez líneas de reglas rewrite para permalinks. Si el suyo tiene directivas de redirección, overrides de handler PHP, reglas condicionales para Googlebot o archivos .htaccess en directorios donde no deberían existir, algo va mal.

¿WordPress no regenera .htaccess por sí mismo?

Solo el bloque estándar de permalinks. Cualquier cosa añadida por el atacante fuera de ese bloque permanece a menos que se elimine explícitamente.

¿Y si no tengo acceso por shell?

I can work over SFTP and the WordPress admin if needed. Shell access makes things faster, but it’s not a requirement.

¿Cómo llegó el atacante al .htaccess?

O bien por un plugin vulnerable que escribió en él, o por credenciales FTP/SFTP robadas. El informe indica cuál.

// PHARMA HACK · WORDPRESS · LIMPIADO

.htaccess malware removal.

Unas pocas líneas extra en .htaccess pueden redirigir a cada visitante móvil, ejecutar PHP desde la carpeta uploads u ocultar páginas de spam que Google sí ve. Limpiamos y endurecemos. Tarifa única 279 $.

Iniciar limpieza → ¿Qué hicieron los atacantes con la SQLi?

§ 01 — MECANISMO

.htaccess es pequeño, potente y fácil de pasar por alto.

WordPress solo usa .htaccess para permalinks bonitos — unas pocas líneas conocidas. Los atacantes añaden reglas rewrite, handlers de ErrorDocument y overrides de ejecución PHP que desvían el tráfico y ejecutan código donde no deberían.

Puede haber más de un .htaccess en su instalación. Listamos cada copia del sistema de archivos, la comparamos con el .htaccess estándar de WordPress y limpiamos o eliminamos las que no corresponden.

// .htaccess — añadido típico de un atacante

01 
02   RewriteCond %{HTTP_USER_AGENT} mobile [NC]
03   RewriteCond %{HTTP_REFERER} google\.com [NC]
04   RewriteRule .* https://evil.example/ [R=302,L]
05 
06
07 // A 302 conditioned on mobile + Google referrer
08 // is the signature of a cloaked redirect hack.

§ 02 — QUÉ ELIMINAMOS

Cada .htaccess de la instalación, auditado.

[ TRIAGE DE PLUGINS ]

Encontramos y leemos cada .htaccess del sistema de archivos — raíz, wp-admin, wp-content, uploads, a veces alguno que no sabía que existía.
[ REGLAS REWRITE ]

Reglas rewrite maliciosas y directivas de redirección eliminadas. El bloque estándar de WordPress se restaura.
[ HANDLERS PHP ]

Directivas AddHandler y AddType que permiten ejecutar PHP desde uploads o desde directorios de temas — eliminadas.
[ ENDURECIMIENTO ]

Reglas de protección añadidas: acceso directo a wp-config.php denegado, ejecución PHP bloqueada en uploads, xmlrpc.php restringido.
[ BÚSQUEDA EN GOOGLE ]

Reconsideración de Google Safe Browsing enviada. Indexación en Search Console solicitada para las URLs afectadas.
[ INFORME ]

Informe forense en lenguaje claro, vector de entrada identificado, antes/después de cada .htaccess incluido.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →