Los sitios de WordPress son blanco de ataques de phishing con más frecuencia de lo que la mayoría de los propietarios creen. Los atacantes utilizan tu dominio, tu marca y la confianza de tus usuarios para robar credenciales, datos de pago e información personal.
Esta guía abarca todos los tipos de ataques de phishing dirigidos a sitios web de WordPress, cómo reconocerlos antes de que causen daños y cómo detenerlos exactamente.
Los ataques de phishing en WordPress son intentos de los atacantes por robar información confidencial suplantando la identidad de su sitio web, su marca o los servicios de confianza con los que interactúan sus usuarios. Estos ataques incluyen páginas de inicio de sesión falsas, notificaciones por correo electrónico fraudulentas, formularios para robar credenciales y páginas maliciosas insertadas en sitios WordPress comprometidos. Para detectarlos y detenerlos, se requiere una combinación de medidas de seguridad técnicas, formación de usuarios y monitorización constante.
Tipos de ataques de phishing dirigidos a sitios de WordPress
Los ataques de phishing en sitios de WordPress siguen patrones predecibles. Conocer los diferentes tipos ayuda a identificarlos más rápidamente y a solucionar las vulnerabilidades específicas que explota cada uno.

- Ataques de páginas de inicio de sesión falsas: Los atacantes crean copias convincentes de la página de inicio de sesión de WordPress para capturar las credenciales de administrador de los propietarios del sitio o de los usuarios que no se dan cuenta de la diferencia en la URL.
- Ataques de suplantación de identidad por correo electrónico: Los correos electrónicos fraudulentos enviados en nombre de su marca dirigen a los destinatarios a páginas de inicio de sesión falsas o formularios maliciosos diseñados para capturar credenciales o datos de pago.
- Sitio web comprometido mediante phishing: Los atacantes que acceden a tu sitio de WordPress insertan páginas de phishing ocultas dirigidas a usuarios de otras marcas, utilizando la credibilidad de tu dominio y tus recursos de alojamiento.
- Suplantación de identidad de plugins y temas: Las notificaciones falsas de actualización de plugins o las páginas de descarga de temas fraudulentas engañan a los administradores para que instalen malware disfrazado de actualizaciones de software legítimas.
- Phishing de pagos en WooCommerce: Páginas de pago o correos electrónicos de confirmación de pago falsos recopilan datos de tarjetas de crédito e información personal de los visitantes de la tienda WooCommerce.
- Suplantación de identidad para restablecer la contraseña: Los correos electrónicos falsos para restablecer la contraseña, que se ven idénticos a las notificaciones legítimas de WordPress, dirigen a los usuarios a páginas de recolección de credenciales diseñadas para capturar nuevas contraseñas.
- Phishing de notificación al administrador: Correos electrónicos que suplantan la identidad del núcleo de WordPress, proveedores de alojamiento o complementos de seguridad notifican a los administradores sobre problemas críticos falsos que requieren un inicio de sesión inmediato a través de un enlace fraudulento.
¿Cómo reconocer un ataque de phishing en WordPress?
Detectar los ataques de phishing a tiempo reduce significativamente los daños. Estas son las señales que indican que algo anda mal.
Archivos o páginas inusuales en su servidor
Si descubres páginas en tu sitio web que no has creado, especialmente aquellas que imitan las páginas de inicio de sesión de otras marcas o que contienen formularios que solicitan información confidencial, tu sitio ha sido comprometido y está siendo utilizado para el phishing.
Realiza un análisis completo de archivos con Wordfence o Sucuri y busca archivos creados o modificados recientemente, especialmente en las carpetas wp-content, wp-includes y la de tu tema. Los atacantes suelen ocultar páginas de phishing dentro de directorios de apariencia legítima con nombres de archivo inofensivos.
Correos electrónicos sospechosos que utilizan su dominio
Si los clientes informan haber recibido correos electrónicos de su dominio que usted no envió, o si su proveedor de correo electrónico detecta actividad de envío inusual, es posible que los atacantes hayan obtenido acceso a sus credenciales de correo electrónico o estén suplantando su dominio para enviar mensajes de phishing.
Revisa inmediatamente los registros de envío de correo electrónico. Configura los registros DMARC, DKIM y SPF en tu dominio si aún no lo están. Estos estándares de autenticación de correo electrónico dificultan considerablemente que los atacantes envíen correos electrónicos de phishing convincentes que parezcan provenir de tu dominio.
Advertencias de navegación segura de Google
Si Google marca tu sitio como peligroso o si los visitantes ven una página de advertencia roja antes de que se cargue, significa que Google ha detectado contenido de phishing en tu dominio. Revisa tu cuenta de Google Search Console para ver las alertas de seguridad y analiza tu URL con el Informe de Transparencia de Navegación Segura de Google.
Una alerta de Navegación Segura indica que Google ha detectado páginas de phishing, malware o contenido engañoso en tu dominio. Esto requiere una investigación inmediata, la eliminación del contenido inactivo y una solicitud de reconsideración antes de que Google elimine la advertencia y restablezca el acceso normal a tu sitio.
Aumento inesperado del tráfico en páginas desconocidas
Un aumento repentino del tráfico a páginas que no reconoces en tus datos de Google Analytics es un fuerte indicador de que los atacantes han insertado páginas de phishing y están dirigiendo el tráfico hacia ellas a través de correos electrónicos de phishing u otros canales.
Revisa tu informe en tiempo real de GA4 y tu informe de cobertura de Search Console para detectar URL que no reconozcas. Cualquier página que aparezca en tus análisis y que no hayas creado requiere una investigación inmediata.
Cómo detener los ataques de phishing en WordPress: Paso a paso
Para detener los ataques de phishing es necesario, por un lado, evitar que su sitio web se vea comprometido en primer lugar y, por otro, reforzar su seguridad contra los vectores específicos que utilizan los atacantes para inyectar contenido de phishing.

Paso 1: Protege tu acceso de administrador de WordPress
La forma más común en que los atacantes inyectan contenido de phishing en sitios de WordPress es a través de cuentas de administrador comprometidas. Proteja cada cuenta de administrador con una contraseña segura y única, y habilite la autenticación de dos factores para todos los usuarios con acceso de administrador.
Cambia el nombre de usuario de administrador predeterminado si aún no lo has hecho. Habilita la limitación de intentos de inicio de sesión para evitar ataques de fuerza bruta. Considera restringir el acceso a WP-Admin a direcciones IP específicas si tu equipo inicia sesión desde ubicaciones fijas. Cada mejora en la seguridad de la cuenta de administrador reduce directamente el riesgo de una intrusión exitosa que permita la inyección de contenido de phishing.
Paso 2: Mantén WordPress, los plugins y los temas actualizados
Los plugins y temas obsoletos son el punto de entrada más común para los atacantes que buscan comprometer sitios WordPress para campañas de phishing. Las vulnerabilidades de seguridad en los plugins populares se descubren con regularidad y se corrigen rápidamente, pero solo protegen tu sitio si aplicas las actualizaciones.
Habilita las actualizaciones automáticas para el núcleo de WordPress y los plugins centrados en la seguridad. Revisa tu lista de plugins y elimina aquellos que no uses activamente. Cada plugin inactivo con una vulnerabilidad sin parchear representa una puerta abierta para los atacantes, incluso si no utilizas sus funciones.
Paso 3: Instala un plugin de seguridad para WordPress con análisis de malware
Un plugin de seguridad que analiza activamente tus archivos en busca de firmas de malware conocidas y contenido de phishing es una de las defensas más efectivas contra el phishing en sitios web comprometidos. Tanto Wordfence como Sucuri analizan plantillas de páginas de phishing conocidas y detectan cambios sospechosos en los archivos.
Configure su complemento de seguridad para que realice análisis diarios y envíe alertas por correo electrónico cuando detecte archivos sospechosos. Active la monitorización de cambios de archivos en tiempo real para recibir notificaciones inmediatas cuando se creen nuevos archivos o se modifiquen inesperadamente los existentes. La detección temprana de páginas de phishing inyectadas limita significativamente el daño que pueden causar antes de su eliminación.
Paso 4: Configurar los registros de autenticación de correo electrónico
Si los atacantes suplantan tu dominio para enviar correos electrónicos de phishing en nombre de tu marca, los registros de autenticación de correo electrónico son tu principal defensa. Los registros SPF, DKIM y DMARC indican a los servidores de correo electrónico receptores que solo deben confiar en los correos electrónicos que afirman provenir de tu dominio si proceden de tus remitentes autorizados.
Agregue un registro SPF a su DNS que incluya todos los servidores autorizados para enviar correos electrónicos en su nombre. Configure la firma DKIM a través de su proveedor de correo electrónico para firmar criptográficamente los mensajes salientes. Configure una política DMARC que indique a los servidores receptores que rechacen o pongan en cuarentena los correos electrónicos que no superen las comprobaciones SPF o DKIM. Estos tres registros, en conjunto, dificultan considerablemente la suplantación de identidad de su dominio en campañas de phishing.
Paso 5: Habilitar un firewall de aplicaciones web
Un firewall de aplicaciones web (WAF) se interpone entre tu sitio WordPress y el tráfico entrante, bloqueando patrones de ataque conocidos antes de que lleguen a tu sitio. Tanto Wordfence como Cloudflare ofrecen soluciones WAF que incluyen reglas diseñadas específicamente para detectar y bloquear patrones de ataque relacionados con el phishing.
Habilita tu WAF y mantén sus reglas actualizadas. Configúralo para bloquear el tráfico proveniente de rangos de IP maliciosos conocidos y para que te avise cuando se detecten patrones de ataque. Un WAF no reemplaza otras medidas de seguridad, pero añade una capa importante que intercepta muchos ataques automatizados antes de que puedan infiltrarse en tu sitio.
Paso 6: Supervise su sitio web para detectar cambios no autorizados
La monitorización activa detecta la inyección de contenido de phishing más rápidamente que cualquier medida reactiva. Configure su complemento de seguridad para que supervise la integridad de los archivos y le avise inmediatamente cuando se añadan, modifiquen o eliminen archivos de forma inesperada.
Configura un sistema de monitorización del tiempo de actividad que compruebe no solo si tu sitio es accesible, sino también si las páginas específicas muestran el contenido que deberían. Un servicio de monitorización que detecta cambios inesperados en el contenido de las páginas puede alertarte sobre páginas de phishing insertadas a los pocos minutos de su aparición, en lugar de días o semanas después, cuando surgen las quejas de los clientes.
Paso 7: Implementar los encabezados de la política de seguridad de contenido
El encabezado de la Política de Seguridad de Contenido (CSP) indica a los navegadores qué fuentes de contenido son de confianza en tus páginas. Una CSP bien configurada impide que los atacantes inyecten scripts externos o redirijan a tus usuarios a páginas externas maliciosas, incluso si logran inyectar código en tu sitio.
Agrega encabezados CSP a tu sitio de WordPress mediante tu plugin de seguridad o la configuración del servidor. Comienza con una política de solo informe para identificar qué contenido carga tu sitio actualmente y luego aplícala. Gradualmente, ajusta la política para restringir la carga de contenido solo a las fuentes que tu sitio realmente necesita.
¿Cómo proteger a los clientes de WooCommerce del phishing?
Las tiendas WooCommerce son objetivos especialmente atractivos para el phishing porque procesan información de pago y almacenan datos de las cuentas de los clientes. Tus clientes necesitan protecciones específicas que van más allá de la seguridad estándar de un sitio WordPress.
Utilice HTTPS en todas las páginas
Todas las páginas de tu tienda WooCommerce deben cargarse mediante HTTPS. Un certificado SSL válido es la señal de confianza mínima que los clientes utilizan para verificar que se encuentran en un sitio legítimo. Una página HTTP o una advertencia de contenido mixto indica a los clientes preocupados por la seguridad que algo anda mal y no ofrece protección contra la interceptación de credenciales.
Redirige todo el tráfico HTTP a HTTPS a nivel de servidor y configura los ajustes de direcciones de WordPress y WooCommerce para que utilicen HTTPS. Comprueba si hay errores de contenido mixto que carguen algún recurso a través de HTTP y corrígelos. Un sitio web totalmente HTTPS con un certificado válido dificulta considerablemente que los atacantes creen clones de phishing convincentes de tus páginas de pago.
Agregar señales de confianza a las páginas de pago
Las señales de confianza visibles en tus páginas de pago ayudan a los clientes a verificar que están en tu sitio web legítimo y no en una copia fraudulenta. Muestra tu distintivo de certificado SSL, logotipos de seguridad de pago reconocidos y una URL clara y consistente que los clientes puedan verificar que coincide con tu dominio real.
Envía correos electrónicos de confirmación de pedido con detalles verificables que los clientes puedan cotejar con su pedido. Los clientes que saben cómo es una comunicación legítima de tu parte están mucho mejor preparados para reconocer los correos electrónicos de phishing que suplantan la identidad de tu marca.
Notificar a los clientes sobre los intentos de phishing
Si descubre que los atacantes están enviando correos electrónicos de phishing en nombre de su marca, notifique a sus clientes de inmediato. Una comunicación clara y directa que explique cómo son los correos electrónicos de phishing, qué acciones nunca les pedirá a sus clientes por correo electrónico y cómo reportar mensajes sospechosos, reduce el número de clientes que caen víctimas.
Publica un aviso en tu sitio web, envía un correo electrónico a tu lista de clientes y actualiza tus perfiles en redes sociales. La rapidez es clave. Cuanto antes alertes a tus clientes tras descubrir una campaña de phishing que utiliza tu marca, menor será el número de víctimas del ataque
¿Tu sitio web de WordPress ha sido comprometido o utilizado para phishing?
Nuestro equipo de seguridad elimina el contenido de phishing, cierra todos los puntos de entrada que utilizan los atacantes e implementa la monitorización y el refuerzo de la seguridad para mantener su sitio web limpio en el futuro.
¿Qué hacer si tu sitio de WordPress ha sido utilizado para phishing?
Si descubre que su sitio web ha sido comprometido y utilizado para alojar contenido de phishing, actúe de inmediato. Cada hora que las páginas de phishing permanecen activas causa más daño a su reputación y a sus usuarios.

Elimine el contenido de phishing de inmediato
Identifica y elimina todas las páginas de phishing y los archivos inyectados de tu servidor. Usa el escáner de archivos de tu plugin de seguridad para identificar todos los archivos sospechosos y revísalos antes de eliminarlos. Realiza una copia de seguridad del estado actual antes de realizar cualquier cambio para tener un registro de los hallazgos y poder investigarlos.
Tras eliminar el contenido malicioso, revise todos los archivos de su instalación de WordPress en busca de puertas traseras. Los atacantes que inyectan contenido de phishing casi siempre instalan también puertas traseras para mantener el control después de la limpieza. Si no se detecta una puerta trasera, el contenido de phishing volverá a aparecer a los pocos días de la limpieza.
Solicitar la eliminación de la Navegación segura de Google
Si Google ha marcado tu sitio como problemático, envía una solicitud de reconsideración a través de Google Search Console después de realizar la limpieza. Explica qué encontraste, qué eliminaste y qué medidas de seguridad implementaste para evitar que vuelva a ocurrir.
Google revisa manualmente las solicitudes de reconsideración. El tiempo de respuesta varía de unos días a varias semanas. Durante este periodo, supervise diariamente las alertas de seguridad de Search Console y solucione cualquier problema detectado de inmediato. Una limpieza exhaustiva y documentada suele resultar en una reactivación más rápida que una solución superficial.
Notificar a los usuarios afectados
Si los datos de los usuarios se vieron comprometidos mediante páginas de phishing en su sitio web, usted tiene la obligación legal y ética de notificar a los usuarios afectados de inmediato. Según su jurisdicción y la naturaleza de los datos involucrados, también podría tener obligaciones legales de notificación conforme a normativas como el RGPD o la CCPA.
Comunique con claridad lo sucedido, qué datos pudieron haber sido vulnerados, qué medidas se han tomado para solucionar la situación y qué pasos deben seguir los usuarios afectados para protegerse. Una comunicación transparente y oportuna limita la responsabilidad legal y genera mayor confianza en el cliente que las notificaciones tardías o ambiguas.
Errores comunes que debes evitar al prevenir el phishing en WordPress
Estos errores dejan a los sitios de WordPress y a sus usuarios innecesariamente expuestos a ataques de phishing.
- Sin autenticación de dos factores: Las cuentas de administrador sin 2FA son el punto de entrada más fácil para los atacantes que planean inyectar contenido de phishing. Habilítela para todos los usuarios administradores sin excepción.
- Plugins y temas obsoletos: Cada vulnerabilidad sin parchear en tu lista de plugins es un posible punto de entrada para la inyección de contenido de phishing. Actualiza todo con regularidad y elimina lo que no uses.
- Sin registros de autenticación de correo electrónico: Sin los registros SPF, DKIM y DMARC, su dominio puede ser suplantado en correos electrónicos de phishing dirigidos a sus clientes con un mínimo esfuerzo técnico por parte de los atacantes.
- Sin supervisión de la integridad de los archivos: Sin una supervisión activa, las páginas de phishing inyectadas en su sitio pueden permanecer sin ser detectadas durante semanas, dañando su reputación y perjudicando a sus usuarios.
- Ignorar las alertas de seguridad: Las alertas de los complementos de seguridad sobre cambios sospechosos en archivos o intentos de inicio de sesión son señales de alerta temprana. Ignorarlas significa perder la oportunidad de detener un ataque antes de que el contenido de phishing se publique.
- Falta de un plan de comunicación con el cliente: Cuando una campaña de phishing ataca a su marca o a sus usuarios, una comunicación tardía o inexistente puede agravar significativamente el daño en comparación con una respuesta rápida y transparente.
Las mejores herramientas para proteger los sitios de WordPress del phishing
Estas herramientas abarcan todos los niveles de prevención de phishing, desde la detección de malware hasta la autenticación de correo electrónico y la monitorización en tiempo real.
| Herramienta | Mejor para | Beneficio |
|---|---|---|
| Seguridad de Wordfence | Escaneo de malware y WAF | Detecta archivos de phishing inyectados. |
| Seguridad Sucuri | Limpieza y monitoreo del sitio | Detección y eliminación de páginas de phishing. |
| Cloudflare WAF | Filtrado de tráfico | Bloquea patrones de ataque de phishing conocidos. |
| Consola de búsqueda de Google | alertas de navegación segura | Detecta contenido de phishing en tu dominio. |
| MXToolbox | Configuración de autenticación de correo electrónico | Verifica los registros SPF, DKIM y DMARC. |
Conclusión: Proteja su sitio web, su marca y sus usuarios del phishing
Los ataques de phishing en WordPress dañan mucho más que tu sitio web. Afectan simultáneamente la confianza de tus usuarios, la reputación de tu marca y tu visibilidad en los motores de búsqueda.
Protege tus cuentas de administrador. Mantén todo actualizado. Instala un plugin de seguridad con escaneo activo. Configura registros de autenticación de correo electrónico. Supervisa tu sitio para detectar cambios no autorizados. Y ten un plan de respuesta listo antes de que lo necesites.
Los sitios que se recuperan más rápido de los ataques de phishing son aquellos que cuentan con las medidas de prevención más sólidas antes de que se produzca un ataque.
Preguntas frecuentes sobre ataques de phishing en WordPress
¿Cómo puedo saber si mi sitio de WordPress se está utilizando para phishing?
Comprueba si hay páginas en tu sitio web que no hayas creado, si se han producido picos de tráfico inusuales hacia URL desconocidas en Google Analytics, si aparecen advertencias de Navegación Segura de Google en Search Console y si hay informes de clientes sobre correos electrónicos sospechosos que afirman provenir de tu marca. Si sospechas que tu sitio ha sido comprometido, realiza un análisis de malware con Wordfence o Sucuri inmediatamente.
¿Cómo inyectan los atacantes páginas de phishing en los sitios de WordPress?
Los puntos de entrada más comunes son las cuentas de administrador comprometidas, los plugins o temas vulnerables con fallos de seguridad sin parchear y las credenciales de alojamiento débiles. Una vez dentro, los atacantes suben archivos de páginas de phishing a tu servidor, a menudo ocultándolos en directorios de apariencia legítima para evitar ser detectados durante revisiones de archivos rutinarias.
¿Pueden los ataques de phishing provocar que mi sitio de WordPress sea incluido en la lista negra de Google?
Sí. El sistema de Navegación Segura de Google analiza activamente los sitios web en busca de contenido de phishing. Si se detectan páginas de phishing en tu dominio, Google muestra una advertencia roja a los visitantes y elimina tu sitio de los resultados de búsqueda habituales hasta que lo limpies y envíes una solicitud de reconsideración exitosa.
¿Cómo puedo evitar que los correos electrónicos de phishing utilicen mi dominio?
Configura los registros SPF, DKIM y DMARC en tu dominio a través de la configuración DNS. Estos estándares de autenticación de correo electrónico verifican que los correos que afirman provenir de tu dominio realmente se originen en tus fuentes de envío autorizadas. Los correos que no superan estas comprobaciones son rechazados o puestos en cuarentena por los servidores de correo receptores antes de que lleguen a tus clientes.
¿Qué debo hacer si mi sitio de WordPress ha sido utilizado para phishing?
Elimine de inmediato todo el contenido de phishing y los archivos de puerta trasera. Envíe una solicitud de reconsideración a Google Search Console después de la limpieza. Notifique a los usuarios afectados sobre la brecha de seguridad y los pasos que deben seguir. Revise y refuerce todas las medidas de seguridad de su sitio para evitar que se repita. Considere la posibilidad de contratar un servicio de seguridad profesional para una revisión exhaustiva posterior al incidente.