Cómo solucionar el aviso «Sitio engañoso adelante» en WordPress

Puntos clave

• Una advertencia de «Sitio engañoso adelante» bloquea instantáneamente el tráfico del sitio web, exigiendo la identificación y eliminación inmediatas del código malicioso.
• La limpieza manual del sitio es muy propensa a errores, ya que omitir un solo script ofuscado hace que Google rechace la revisión de seguridad y prolongue el tiempo de inactividad del sitio web.
• El complemento Cloudways Malware Protection automatiza la eliminación de backdoors a nivel de servidor, garantizando un sitio totalmente limpio antes de enviar la revisión de Google.

Encontrar la advertencia «Sitio engañoso delante» significa que Google está bloqueando activamente que los visitantes lleguen a tu sitio web. Tu tráfico orgánico y directo se desploma al instante, destruyendo la confianza de los visitantes y deteniendo los ingresos de tu negocio. Ser marcado por los motores de búsqueda indica un fallo crítico en la seguridad de tu sitio web.

Para restablecer el acceso, debes identificar los archivos comprometidos, eliminarlos de forma segura y demostrar a Google que tu dominio está limpio.

Esta guía explica exactamente qué significa este error común de WordPress y cómo localizar manualmente el código malicioso que se esconde en tu servidor.

Recorreremos los pasos exactos para enviar tu sitio a una revisión de seguridad y, a continuación, te mostraremos cómo el complemento Cloudways Malware Protection proporciona una alternativa automatizada para garantizar que tu sitio está totalmente limpio antes de enviar esa revisión.

¿Qué significa «sitio web engañoso por delante»?

El mensaje «Sitio engañoso adelante» es una advertencia a pantalla completa generada por Google Safe Browsing. Cuando aparece esta pantalla, significa que Google ha escaneado tu sitio web y ha encontrado indicios de actividad maliciosa.

El motor de búsqueda marca el dominio porque cree que tu sitio está configurado para engañar a los visitantes para que hagan algo peligroso, como revelar contraseñas confidenciales o descargar virus.

El impacto de este bloqueo es grave. Esta advertencia detiene efectivamente más del 95% de tu tráfico orgánico y directo. Daña tu SEO, la reputación de tu marca y paraliza los ingresos de tu negocio hasta que el problema de seguridad subyacente se resuelva por completo y Google elimine el dominio.

Causas comunes del aviso de sitio web engañoso por delante

Google Safe Browsing supervisa constantemente la web en busca de amenazas específicas. Cuando bloquea tu dominio, normalmente es porque ha detectado una de las siguientes vulnerabilidades:

• Páginas de Phishing: Los atacantes suelen comprometer un sitio web para alojar portales de inicio de sesión falsos. Estas páginas imitan a servicios legítimos, como bancos o proveedores de correo electrónico, para robar nombres de usuario y contraseñas a visitantes desprevenidos.
• Descargas de malware: Tu sitio puede estar intentando instalar secretamente software malicioso en los ordenadores de tus visitantes. Esto ocurre cuando los hackers inyectan scripts que fuerzan descargas automáticas de virus o ransomware.
• Redirecciones maliciosas y spam: Los atacantes también utilizan sitios comprometidos para canalizar el tráfico hacia destinos ilegales o maliciosos. Un hackeo oculto de redirecciones de WordPress activará casi instantáneamente los filtros de sitios engañosos de Google. Además, el spam de SEO de sombrero negro, como el hackeo japonés de palabras clave, es marcado con frecuencia por Google Safe Browsing.

Estas infecciones rara vez ocurren por accidente. Los hackers suelen dejar una puerta trasera en WordPress para poder subir continuamente estos archivos engañosos, incluso después de que intentes realizar una limpieza básica.

Arregla automáticamente la advertencia de sitio engañoso

La limpieza manual a menudo pasa por alto malware oculto. El complemento Cloudways Malware Protection escanea tu servidor para extraer las amenazas y poder pasar la revisión de seguridad de Google.

Protégete

Cómo comprobar si tu sitio está marcado

La mayoría de los propietarios de sitios web no descubren un aviso de «Sitio engañoso más adelante» navegando casualmente por su propia página de inicio.

Normalmente te enteras por una caída repentina del tráfico de Google Analytics, o por un correo electrónico de seguridad crítica directamente desde Google Search Console.

Cuando recibes estos informes, tu primer instinto es escribir tu URL en el navegador para ver qué está pasando.

Sin embargo, puede que en realidad no veas la pantalla de advertencia en tu propio ordenador. Los navegadores suelen almacenar en caché versiones antiguas de tu sitio web para mejorar los tiempos de carga. Esto significa que tus visitantes están siendo bloqueados por Google mientras que a ti el sitio te parece perfectamente normal.

Para obtener una respuesta definitiva, debes evitar fiarte de lo que se carga en tu navegador personal. Utiliza el Informe de Transparencia de Google para ver exactamente cómo ven actualmente tu dominio los motores de búsqueda.

Aquí tienes cómo comprobar tu estado:

• Accede a la página Estado del sitio de navegación segura de Google.
• Introduce la URL exacta de tu sitio web en la barra de búsqueda y pulsa Intro.
• Revisa los resultados en la sección «Estado actual».

Esta herramienta te dirá explícitamente si Google ha encontrado contenido engañoso o si el sitio está marcado como inseguro. También puedes utilizar un escáner externo como Sucuri SiteCheck para verificar si tu dominio aparece en otras listas negras globales.

Pasos para eliminar manualmente la advertencia «Sitio engañoso por delante»

Deshacerse de una lista negra de Google requiere un enfoque muy específico. No puedes simplemente adivinar qué archivos están infectados y esperar que desaparezca la advertencia.

Tienes que encontrar la fuente, asegurar tus datos existentes, eliminar manualmente el código defectuoso y, a continuación, solicitar formalmente a Google una reevaluación.

Paso 1: Comprueba el Informe de problemas de seguridad de Google

No empieces a borrar archivos a ciegas. Tu primer paso es averiguar qué vio exactamente Google cuando rastreó tu sitio. Necesitas acceder a los datos de diagnóstico específicos que Google proporciona a los propietarios de sitios verificados.

Accede a tu panel de Google Search Console y sigue estos pasos para localizar los archivos infectados:

• Navega por el menú de la izquierda y haz clic en Seguridad y Acciones Manuales.
• Abre la pestaña Problemas de seguridad.

• Revisa la lista categorizada de hacks detectados. Google etiquetará el problema como descarga dañina, páginas engañosas o algo similar.

• Haz clic en cada problema individual para revelar las URL de muestra y los fragmentos de código específicos en los que Google encontró la actividad maliciosa.

Este informe señala directamente las áreas problemáticas para que puedas limpiar las cosas más rápidamente.

Paso 2: Haz una copia de seguridad de tu sitio web

Suena extraño hacer una copia de seguridad de un sitio web hackeado, pero es una red de seguridad fundamental. Eliminar el malware manualmente requiere que edites o elimines los archivos principales de WordPress y las tablas de la base de datos.

Si cometes un error y eliminas el archivo PHP equivocado, todo tu sitio se romperá, haciendo el proceso de recuperación mucho más difícil.

Antes de modificar una sola línea de código, debes guardar una copia del estado actual de tu sitio.

A continuación te explicamos cómo proteger tus archivos y tu base de datos manualmente:

• Descarga tus archivos: Conéctate a tu servidor utilizando un cliente FTP como FileZilla. Localiza el directorio raíz que contiene tu instalación de WordPress y descarga toda la carpeta a tu ordenador local.

• Exporta tu base de datos: Accede a phpMyAdmin a través del panel de control de tu alojamiento. Selecciona tu base de datos de WordPress y exporta una copia .sql completa a tu unidad local.

Si tu sitio está alojado en Cloudways, puedes saltarte las descargas manuales. Proporcionamos un método automatizado mucho más rápido:

• Ve a Gestión de Aplicaciones en tu panel principal.
• Selecciona la aplicación afectada.
• Ve a la pestaña Copia de Seguridad y Restauración.
• Pulsa el botón Realizar copia de seguridad ahora para generar un punto de restauración inmediato.

Paso 3: Encuentra y elimina el código malicioso

Una vez que tengas la lista de URL marcadas de Google, la siguiente fase consiste en conectarse a tu servidor para localizar y extraer el código comprometido. La eliminación manual del malware de WordPress es difícil de ejecutar sin fallos mientras tu dominio está bloqueado activamente.

Los archivos maliciosos suelen estar dispersos por diferentes directorios, lo que requiere una auditoría exhaustiva de toda tu arquitectura. Aquí es donde tienes que mirar para limpiar tu sitio manualmente:

El Directorio de Subidas

La ruta wp-content/uploads está pensada únicamente para activos multimedia como fotos y PDF. Nunca deberías encontrar código ejecutable aquí. Accede a través de tu cliente FTP y navega por las subcarpetas basadas en fechas.

Si detectas una extensión .php escondida entre tus archivos de imagen estándar, es muy probable que se trate de un añadido malicioso.

Comprueba el contenido de ese archivo. Los piratas informáticos suelen desordenar su código para ocultar su finalidad. Si lo abres y ves un bloque masivo de caracteres aleatorios e ilegibles, debes eliminar ese archivo inmediatamente.

Archivos de configuración

A los intrusos les encanta enterrar sus scripts dentro de archivos esenciales del sistema para que el sitio siga funcionando con normalidad mientras ejecutan sus cargas útiles. Normalmente van tras wp-config.php o el archivo functions.php de tu tema.

Consigue una copia limpia de WordPress de la fuente oficial y compárala con tus archivos activos. Busca comandos PHP sospechosos como eval() o base64_decode() que se hayan metido con calzador en el código.

Si detectas estos comandos unidos a cadenas de texto extrañas, elimina con cuidado ese trozo concreto de código, guarda los cambios y sustituye el archivo en tu servidor.

Falsos archivos del sistema

Otro truco común es el camuflaje. Los hackers colocarán archivos maliciosos directamente en tus directorios principales, pero les darán nombres que parezcan oficiales a simple vista.

Busca en tu carpeta raíz y en el directorio wp-includes. Busca archivos etiquetados como wp-options.php o index-config.php.

La versión oficial de WordPress no utiliza estos nombres de archivo específicos. Encontrarlos confirma un compromiso activo, por lo que debes eliminarlos por completo.

Tablas de la base de datos

Encontrar cada archivo PHP defectuoso es inútil si un atacante dejó una cuenta de puerta trasera para simplemente volver a entrar más tarde. Tienes que purgar cualquier cuenta fraudulenta directamente en la base de datos. Abre phpMyAdmin desde el panel de control de tu alojamiento y navega hasta la tabla wp_users.

Escanea la lista en busca de nombres de usuario irreconocibles o direcciones de correo electrónico extrañas y elimina esas filas de inmediato.

También tienes que verificar la seguridad completa de la base de datos revisando la tabla wp_options. Busca en la columna option_name la fila active_plugins.

A veces los hackers activan plugins invisibles directamente en la base de datos para evitar ser detectados en tu panel principal. Elimina las referencias a plugins desconocidos que encuentres allí.

El mayor riesgo de este paso es dejar una puerta trasera oculta. Si eliminas el spam obvio pero pasas por alto el script oculto que el hacker utilizó para acceder en primer lugar, tu sitio se reinfectará inmediatamente.

Si Google vuelve a detectar el malware, rechazará tu solicitud de revisión y prolongará tu tiempo de inactividad.

Paso 4: Solicitar una revisión de Google

La pantalla roja de advertencia no desaparecerá por sí sola sólo porque hayas eliminado los archivos defectuosos. Una vez que estés absolutamente seguro de que el sitio está limpio, tienes que pedir formalmente a Google que vuelva a evaluar tu dominio.

A continuación te indicamos cómo enviar tu sitio para una revisión de seguridad:

• Vuelve al informe Problemas de seguridad dentro de tu panel de Google Search Console.
• Haz clic en el botón Solicitar revisión situado en la parte superior del informe.

• Rellena el formulario obligatorio con detalles específicos. Debes explicar exactamente qué vulnerabilidades encontraste, cómo eliminaste el código malicioso y qué medidas tomaste para proteger el servidor de futuros ataques.
• Envía la solicitud y espera los resultados.

Debes establecer tus expectativas en consecuencia. Google no procesa estas solicitudes al instante. Normalmente sus sistemas automatizados tardan entre 24 y 72 horas en volver a escanear tu sitio y procesar la revisión.

Si tu sitio está realmente limpio, la advertencia de sitio engañoso se levantará globalmente y tu tráfico se reanudará.

Sin embargo, conseguir manualmente un sitio completamente limpio es difícil. Pasar por alto un solo archivo oculto significa que Google rechazará tu solicitud de revisión y prolongará tu tiempo de inactividad.

Dado que la búsqueda manual y los plugins básicos a menudo pasan por alto puertas traseras profundamente arraigadas, utilizar un escáner a nivel de servidor es la forma más segura de garantizar que tu sitio pasa la revisión.

La solución automática: Complemento de protección contra malware de Cloudways

Para pasar la revisión de Google a la primera, necesitas escanear a fondo tu sitio web en busca de malware a nivel de servidor. El complemento Cloudways Malware Protection actúa por debajo de la capa de aplicación de WordPress.

Esto significa que detecta las amenazas ocultas que los plugins estándar y las comprobaciones manuales pasan por alto constantemente, proporcionando una tasa de éxito mucho mayor para tu revisión de Google.

He aquí cómo esta herramienta prepara tu sitio para una revisión de seguridad satisfactoria sin que tengas que tocar ningún código:

• Eliminación automatizada de puertas traseras: En lugar de buscar manualmente las funciones ocultas, el escáner a nivel de servidor encuentra y extrae las cargas útiles maliciosas automáticamente, manteniendo tus archivos principales legítimos completamente a salvo.
• Auditoría profunda de bases de datos: La herramienta omite las consultas estándar para auditar directamente tu base de datos. Localiza cuentas de administrador fraudulentas, plugins ocultos y cron jobs de servidor maliciosos que los hackers utilizan para recuperar el acceso.
• Autoprotección de aplicaciones en tiempo de ejecución (RASP): Cloudways utiliza la autoprotección de aplicaciones en tiempo de ejecución (RASP) para identificar y neutralizar archivos maliciosos al instante. Si un script oculto intenta ejecutar un comando, se bloquea en tiempo real.
• Defensa proactiva de Día Cero: Proporciona una seguridad completa del servidor analizando cómo se comportan realmente los scripts. Si un archivo actúa como una puerta trasera, se detiene inmediatamente, aunque sea una amenaza totalmente nueva.

Cómo activar el complemento Cloudways Malware Protection

Activar esta protección sólo requiere unos pocos clics. El trabajo pesado se realiza directamente en el servidor, lo que significa que no consumirá recursos de WordPress ni ralentizará tu sitio.

Paso 1: Navega a Seguridad de Aplicaciones

Accede a tu cuenta de Cloudways y selecciona tu aplicación de destino. En el menú de la izquierda, haz clic en Seguridad de Aplicaciones y elige la pestaña Protección contra Malware.

Paso 2: Activar el Escáner

Haz clic en el botón Activar Protección. Esto activa instantáneamente la supervisión en tiempo real e inicia un barrido exhaustivo de tus archivos y base de datos.

Paso 3: Controla tu panel de control

Una vez finalizado el escaneo inicial, puedes revisar las acciones de limpieza automatizadas en tres pestañas específicas:

• Malicioso: Esta sección enumera las amenazas aisladas. Muestra la ruta exacta del archivo y confirma si el script fue limpiado, puesto en cuarentena o eliminado por completo.
• Historial de análisis: Aquí puedes revisar los registros de anteriores barridos de seguridad en segundo plano o forzar una nueva comprobación inmediata de tu servidor.
• Defensa proactiva: Este registro de ejecución muestra exactamente cuándo y dónde se bloqueó la ejecución de scripts PHP maliciosos activos.

Cómo evitar los avisos engañosos de sitios web en el futuro

Salir de una lista negra de Google requiere tiempo y esfuerzo. Una vez que tu sitio esté limpio y tu tráfico haya vuelto a la normalidad, debes centrarte en detener el siguiente ataque antes de que se produzca.

Estas son las formas más eficaces de mantener tu dominio fuera de las listas negras de seguridad:

Mantén todo actualizado

Los piratas informáticos se basan en vulnerabilidades conocidas de software obsoleto. Debes parchear constantemente el núcleo, los temas y los plugins de WordPress. Los desarrolladores publican estas actualizaciones específicamente para cerrar los agujeros de seguridad exactos que los atacantes utilizan para inyectar código malicioso.

Si el mantenimiento manual te lleva demasiado tiempo, con Cloudways SafeUpdates automatizas todo el proceso y pruebas previamente tu sitio para garantizar que nada se rompe.

Utiliza un WAF

Limpiar el malware es una medida reactiva. Un cortafuegos de aplicaciones web detiene el ataque en el perímetro. Añadir Cloudflare Enterprise en Cloudways bloquea los bots maliciosos y los escáneres de vulnerabilidades que intentan lanzar malware a tu servidor en primer lugar.

Descubre en qué se diferencia añadir protección periférica del escaneado interno en nuestra comparativa WAF vs. cortafuegos.

Pasar del pánico reactivo a la seguridad proactiva garantiza que nunca más tendrás que enfrentarte a una pantalla roja de advertencia.

¡Terminando!

Un aviso de «Sitio engañoso adelante» destruye inmediatamente tu tráfico y daña la confianza de los visitantes. Restablecer el acceso requiere un proceso metódico de limpieza.

Tienes que identificar los archivos comprometidos a través de Google Search Console, eliminar el código malicioso por completo y enviar una solicitud de revisión formal.

El paso más crítico es asegurarse de que la infección está completamente erradicada antes de pedir a Google una reevaluación. Una revisión fallida sólo prolonga tu tiempo de inactividad.

Tanto si decides buscar los archivos manualmente como si confías en un escáner automatizado a nivel de servidor, como el complemento Cloudways Malware Protection, confirmar que tu sitio está realmente limpio es la única forma de levantar el bloqueo y que tu negocio vuelva a estar online de forma segura.