¿Web Joomla hackeada? Recuperación urgente y eliminación de malware

Tu página de inicio redirige a una web de farmacia. Google muestra "Es posible que este sitio haya sido hackeado" debajo de tu resultado. Aparecen páginas extrañas en otros idiomas dentro de los resultados de búsqueda de tu dominio. Tu proveedor de alojamiento te ha enviado un aviso de malware, o directamente ha suspendido tu cuenta. Sea lo que sea lo que te ha traído hasta aquí: una web Joomla hackeada tiene solución, y cuanto antes se gestione bien, menos daño causa.

Somos especialistas europeos en Joomla. Recuperar instalaciones de Joomla comprometidas —desde reliquias abandonadas de Joomla 1.5 hasta sitios Joomla 5 y 6 con mantenimiento activo— forma parte de nuestro trabajo cada semana. Limpiamos la infección, localizamos y cerramos la vía de entrada, restauramos tu reputación ante Google y los operadores de listas negras, y te dejamos en una plataforma segura y con soporte para que no vuelva a ocurrir.

Pide ayuda urgente ahora →

Señales de que tu sitio Joomla ha sido hackeado

Algunas intrusiones se anuncian solas; las rentables se esconden. Estos son los síntomas más habituales que vemos en webs Joomla:

  • Redirecciones: los visitantes (a menudo solo los que llegan desde Google, o solo en el móvil) acaban en webs de spam, estafas o contenido para adultos, mientras que a ti el sitio te parece normal.
  • Avisos del navegador y de los buscadores: pantallas rojas de "Sitio engañoso más adelante", etiquetas de "Es posible que este sitio haya sido hackeado" o "Este sitio puede dañar tu ordenador" en los resultados de Google.
  • Spam de SEO: miles de páginas que nunca creaste aparecen en los resultados de búsqueda de tu dominio: palabras clave de farmacia, marcas falsificadas, apuestas o páginas en japonés (el clásico "Japanese keyword hack").
  • Defacement: tu página de inicio sustituida por la firma de un atacante. Burdo, pero al menos sincero.
  • Cuentas de administrador desconocidas: nuevos Super Usuarios en el gestor de usuarios de Joomla que nadie de tu equipo ha creado.
  • Correo basura desde tu dominio: tu servidor empieza de repente a enviar miles de mensajes; la entregabilidad se desploma y tu IP acaba en listas negras de correo.
  • Archivos inexplicables y ralentizaciones: archivos PHP raros en tu instalación, picos de uso de CPU o el proveedor quejándose de abuso de recursos (a menudo criptominería o scripts de spam).
  • Herramientas de seguridad desactivadas: tu extensión de seguridad aparece misteriosamente apagada, o te encuentras bloqueado fuera de tu propio panel de administración.

Varios de estos síntomas pueden estar activos a la vez. Los atacantes camuflan sus cambios de forma rutinaria —mostrando páginas limpias a los administradores que han iniciado sesión y la infección únicamente a los rastreadores de los buscadores—, y por eso "a mí me parece que está bien" nunca es prueba de que un sitio esté limpio.

Primeros pasos: qué hacer ahora mismo

Antes de que intervenga ningún especialista, hay cosas que puedes hacer con seguridad durante la primera hora, y otras que conviene evitar específicamente.

  1. Pon el sitio fuera de línea o en modo mantenimiento. Cada hora que una web comprometida sigue siendo pública, infecta a los visitantes, envía spam y hunde aún más tu reputación de búsqueda. El modo offline de Joomla es el mínimo; bloquear el sitio a nivel de alojamiento es mejor.
  2. Cambia todas las contraseñas: las cuentas de Super Usuario de Joomla, el panel de control del alojamiento, FTP/SFTP y el usuario de la base de datos. Usa contraseñas largas y únicas. Si tu propio ordenador pudiera ser la fuente de las credenciales robadas, analízalo antes de teclear las nuevas.
  3. Conserva las pruebas: no empieces a borrar. Haz una copia de seguridad completa del sitio y de la base de datos tal y como están ahora, infectados, y descarga los registros de acceso del servidor (rotan y desaparecen rápido). Los logs son la forma de encontrar la vía de entrada. Borrar archivos sospechosos antes del análisis destruye el rastro y casi siempre deja la puerta trasera intacta.
  4. No te limites a restaurar la copia de la semana pasada y seguir como si nada. Una restauración sin diagnóstico vuelve a poner la misma extensión vulnerable, las mismas credenciales robadas, el mismo Joomla sin parchear, y muy a menudo la propia copia de seguridad ya contiene la puerta trasera. Los sitios restaurados vuelven a ser hackeados en cuestión de días; lo vemos constantemente.
  5. Anota la cronología. ¿Cuándo empezaron los síntomas? ¿Qué cambió recientemente: nuevas extensiones, nuevos usuarios, una migración de alojamiento? Cada detalle acorta la investigación.

Después, consigue ayuda competente. Cuéntanos lo que sepas a través de nuestra página de contacto —incluido el "mi proveedor ha suspendido la cuenta" si ese es tu caso— y nosotros nos encargamos del resto.

Por qué hackean los sitios Joomla

Los ataques a las webs de pequeñas empresas casi nunca son personales. Los bots rastrean todo internet las veinticuatro horas en busca de software vulnerable conocido, y comprometen lo que encuentran: la panadería del pueblo y una multinacional reciben exactamente el mismo trato. En los sitios Joomla, la vía de entrada es casi siempre una de estas cuatro cosas:

Una versión de Joomla sin soporte

Joomla 3 recibió su último parche de seguridad en 2023; Joomla 4 llegó al final de su vida útil en octubre de 2025. Todas las vulnerabilidades descubiertas desde esas fechas siguen permanentemente abiertas en los sitios que aún las ejecutan, y los detalles de las vulnerabilidades son públicos, así que la explotación se automatiza pocos días después de su divulgación. Buena parte de las recuperaciones que realizamos son sitios Joomla 1.5, 2.5 y 3 que "funcionaban perfectamente" justo hasta que dejaron de hacerlo. Si este es tu caso, la recuperación y una actualización a una versión con soporte son el mismo proyecto.

Extensiones vulnerables o abandonadas

La vía de entrada individual más habitual. Editores antiguos, gestores de archivos, componentes de formularios y plugins de carrusel con exploits conocidos, a menudo extensiones que el sitio ya ni siquiera usa, instaladas y olvidadas. Toda extensión es código PHP que se ejecuta con los privilegios de tu sitio; una abandonada es una puerta lateral sin cerrar.

Credenciales robadas o débiles

Contraseñas reutilizadas capturadas en filtraciones de datos ajenas, "admin/admin123", cuentas compartidas, ausencia de autenticación multifactor y malware en el propio ordenador de un administrador que recopila las contraseñas FTP guardadas. El atacante no fuerza la entrada; simplemente inicia sesión.

El entorno de alojamiento

En un alojamiento compartido mal aislado, un vecino vulnerable puede convertirse en tu problema: una cuenta comprometida se utiliza para infectar todos los sitios que el atacante alcance en el mismo servidor. Este riesgo de contaminación cruzada es precisamente la razón por la que nuestro alojamiento Joomla gestionado solo aloja sitios que hemos construido o actualizado nosotros mismos: controlamos lo que hay en el servidor, así que ningún vecino desconocido puede tumbarte.

Anatomía de una intrusión típica

Entender cómo se desarrollan estos incidentes explica por qué una recuperación bien hecha es como es. El patrón que reconstruimos a partir de los logs del servidor es enormemente constante:

Semanas antes de que notes nada, un escáner automatizado identifica tu sitio como ejecutor de software explotable y un script lo aprovecha, subiendo una pequeña "webshell", un archivo que da al atacante control remoto. Nada cambia a la vista. El atacante (o, más a menudo, su automatización) se atrinchera entonces sin hacer ruido: puertas traseras adicionales en distintas ubicaciones, un usuario administrador fraudulento y, a veces, tareas programadas que recrean la puerta trasera si se elimina. La redundancia es el objetivo, y es la razón por la que borrar el único archivo sospechoso que encontraste nunca pone fin a un incidente.

Después empieza la monetización, y suele ser entonces cuando te enteras: páginas de spam inundan el índice de Google, las redirecciones se activan para el tráfico de búsqueda o el servidor empieza a expulsar correo de phishing. Cuando aparecen los síntomas, la intrusión suele tener ya varias semanas de antigüedad, lo cual explica también por qué "restaurar la copia de la semana pasada" tan a menudo restaura la puerta trasera junto con el sitio.

Los logs cuentan la historia. Los registros de acceso del servidor web recogen la petición del exploit, las subidas y cada visita posterior a la puerta trasera. Por eso importa tanto conservar los logs de inmediato, y por eso nuestro proceso empieza con análisis forense en lugar de con el borrado de archivos: los logs identifican la vía de entrada, la vía de entrada determina la solución, y la solución es lo que mantiene el sitio limpio después de que nos marchemos.

Nuestro proceso de recuperación

La recuperación de Joomla es trabajo forense, no un simple borrado de archivos. Este es el proceso que aplicamos en cada sitio comprometido:

1. Triaje y contención

Evaluamos la situación, ponemos el sitio fuera de línea con seguridad si no lo estaba ya, aseguramos una copia forense de archivos, base de datos y logs, y bloqueamos los accesos: credenciales nuevas en todas partes, sesiones cerradas y cuentas de administrador desconocidas desactivadas.

2. Investigación

Con los logs del servidor, las marcas de tiempo de los archivos y el propio malware, determinamos cómo entró el atacante, cuándo y qué tocó. Este paso es lo que separa una recuperación de una limpieza cosmética: si la vía de entrada no se identifica y se cierra, el sitio volverá a infectarse.

3. Limpieza

Los archivos del núcleo de Joomla se reemplazan por completo con versiones limpias de la edición correcta. Auditamos cada extensión: las legítimas se reinstalan desde fuentes limpias y las abandonadas y vulnerables se eliminan. Cazamos webshells, puertas traseras y código inyectado en el sistema de archivos, en las plantillas y los overrides, en el .htaccess y dentro de la propia base de datos, donde los atacantes esconden redirecciones, enlaces de spam y usuarios administradores fraudulentos dentro de las tablas de contenido y configuración.

4. Fortificación

Credenciales y claves de seguridad nuevas en todo el sistema, autenticación multifactor en las cuentas de administrador, permisos de archivo correctos, restricciones de acceso al panel, un firewall de aplicaciones web (WAF) y la eliminación de todo instalador sobrante, archivo de copia de seguridad y script huérfano que ande tirado por la raíz web.

5. Recuperación de la reputación

Una vez que el sitio está verificablemente limpio, solicitamos una revisión a través de Google Search Console para eliminar los avisos de "sitio engañoso" y "sitio hackeado", enviamos peticiones de eliminación a las listas negras pertinentes, gestionamos las secuelas del spam de SEO (retirando del índice las páginas inyectadas) y comprobamos las listas negras de correo si el servidor estuvo enviando spam.

6. Informe y plan de seguimiento

Recibes un informe en lenguaje claro: cómo entraron, qué hicieron, qué eliminamos, qué cambiamos y qué debe pasar a continuación. A efectos de protección de datos (véase más abajo), esta documentación importa tanto como la propia limpieza.

¿Cuánto tarda la recuperación?

La contención ocurre el primer día: el sitio deja de perjudicar a los visitantes y a tu reputación a las pocas horas de que empecemos. La limpieza y fortificación completas de un sitio Joomla típico de pequeña empresa llevan de uno a tres días, según el tamaño del sitio, la profundidad de la infección y el estado de la versión de Joomla subyacente. La revisión de Google tras una solicitud de limpieza suele retirar los avisos del navegador a los pocos días del envío; el spam de SEO residual en los resultados de búsqueda puede tardar más en caer del índice, y lo vigilamos hasta que lo hace.

Los sitios en versiones de Joomla sin soporte tardan más, porque una recuperación honesta incluye llevarte a una plataforma con soporte: no tiene sentido pulir un sitio que volverá a ser comprometido el mes que viene a través del mismo núcleo sin parchear.

El reloj del RGPD: 72 horas

Para las empresas europeas, una web hackeada no es solo un incidente técnico: puede ser una brecha de datos personales. Si tu sitio guarda datos de clientes (cuentas de usuario, envíos de formularios, pedidos, altas de boletín) y esos datos pudieron quedar expuestos, el artículo 33 del RGPD exige notificarlo a tu autoridad de control en un plazo de 72 horas desde que tienes conocimiento de la brecha, salvo que sea improbable que esta entrañe un riesgo para los afectados. Cuando el riesgo para las personas es alto, también hay que informar a los propios afectados.

Aquí es donde el lado forense de nuestro proceso demuestra su valor: nuestra investigación establece a qué datos pudo acceder realmente el atacante, y nuestro informe te da los hechos documentados que tú (y tu asesor legal) necesitáis para decidir si la notificación es obligatoria y para hacerla con exactitud. Adivinar en cualquier dirección —callar y confiar en que no se llevaron nada, o notificar presa del pánico a los clientes una brecha que nunca tocó datos personales— son dos errores caros. Nuestro servicio de cumplimiento del RGPD cubre el lado de la preparación, de modo que, si hay una próxima vez, el inventario de datos y el plan de respuesta ya existan.

¿Limpiar, reconstruir o actualizar?

No todo sitio comprometido merece una restauración tal cual estaba, y te diremos con sinceridad en cuál de estos casos te encuentras:

  • Joomla con soporte, brecha aislada: limpiar, fortificar y listo. El sitio continúa en su versión actual con mejores defensas.
  • Joomla sin soporte (1.x, 2.5, 3, 4): limpiar y actualizar, como un único proyecto. Recuperamos tu contenido y tus datos, y después reconstruimos sobre Joomla 5 o 6 mediante nuestro proceso de actualización estructurado. Limpiar un sitio sin soporte sin actualizarlo es cobrarte dos veces por el mismo hackeo.
  • Profundamente infectado, antiquísimo o sin reparación económicamente viable: una construcción nueva en Joomla 6 reutilizando tu contenido verificado como limpio resulta a veces más rápida y barata que la arqueología. Presupuestamos ambas rutas y te dejamos elegir.

Mantenerse seguro después

Casi todos los sitios hackeados que recuperamos comparten la misma historia de fondo: nadie lo actualizaba, nadie lo vigilaba y el alojamiento era el más barato que había en 2017. La solución a eso es estructural, no heroica:

  • Planes de mantenimiento: actualizaciones aplicadas con prontitud, monitorización de seguridad, copias de seguridad diarias fuera del servidor y comprobaciones de disponibilidad, para que las vulnerabilidades se parcheen antes de que los bots las encuentren.
  • Alojamiento europeo gestionado: un entorno de servidor controlado sin vecinos desconocidos, monitorización proactiva e infraestructura gestionada por las mismas personas que mantienen tu sitio.
  • Buenas prácticas de fortificación: MFA en todas las cuentas de administrador, usuarios con el mínimo privilegio y el menor número posible de extensiones. Nuestra Guía de seguridad de Joomla explica cómo es hacerlo bien.

Los clientes de recuperación que pasan a un plan de mantenimiento reciben incluido el periodo de monitorización posterior al hackeo: los intentos de reinfección son más probables en las primeras semanas, y los vigilamos.

¿Cuánto cuesta recuperar un Joomla hackeado?

Depende de tres cosas: el tamaño y la complejidad del sitio, la profundidad de la intrusión y si la versión de Joomla subyacente tiene soporte o está al final de su vida útil. Una infección contenida en un sitio Joomla 5 con mantenimiento se sitúa en la franja baja; un sitio Joomla 2.5 enorme, con años de extensiones acumuladas, inyección de spam a nivel de base de datos y una actualización de plataforma obligada es un proyecto mayor. Evaluamos primero y presupuestamos un precio cerrado antes de empezar: nada de facturación por horas abierta mientras te desangras, y ningún cargo por la evaluación inicial.

Para poner las cosas en perspectiva: el coste de una recuperación profesional es casi siempre menor que el de la alternativa: semanas de tráfico perdido bajo un aviso de Google, un servidor de correo en listas negras, clientes que se marchan y, en el peor de los casos, un regulador preguntando por qué un sitio sin parchear guardaba datos de clientes.

Qué necesitamos de ti para empezar

La recuperación avanza más rápido cuando el acceso llega junto con la solicitud. Ten a mano lo que puedas, y no te preocupes por lo que no: empezamos habitualmente con mucho menos:

  • Acceso al panel de control del alojamiento (o el nombre de tu proveedor y un contacto con el que podamos coordinarnos, imprescindible si la cuenta está suspendida).
  • Credenciales de SFTP/FTP y de la base de datos, o la posibilidad de crearlas en el panel.
  • Un acceso de Super Usuario de Joomla, si todavía tienes uno que funcione.
  • Las copias de seguridad que existan, por antiguas que sean: incluso una copia de hace años es valiosa como referencia limpia con la que comparar archivos.
  • Acceso a Google Search Console (o nos añadimos nosotros durante el encargo) para la revisión de avisos y la eliminación de páginas de spam.
  • La cronología: cuándo empezaron los síntomas, cambios recientes, cualquier correo de tu proveedor o de Google.

Todo se gestiona bajo un acuerdo de confidencialidad, las credenciales se rotan al final del encargo y —al ser una empresa de la UE que trabaja sobre infraestructura de la UE— tus datos nunca necesitan salir de la jurisdicción europea para que el trabajo se realice.

La lista de comprobación de prevención

Si tu sitio no ha sido hackeado y quieres que siga así, estos ocho puntos cierran las puertas por las que entran los ataques descritos arriba. Son exactamente lo que verificamos en la auditoría gratuita:

  1. El núcleo de Joomla en una versión con soporte (5.x o 6.x) con las actualizaciones aplicadas a los pocos días de su publicación, no meses después.
  2. Todas las extensiones mantenidas activamente por su desarrollador, y toda extensión sin usar desinstalada, no solo desactivada.
  3. Autenticación multifactor obligatoria en todas las cuentas de administrador.
  4. Contraseñas únicas y robustas para Joomla, el alojamiento, FTP y la base de datos, sin reutilizar credenciales en ningún sitio.
  5. Copias de seguridad diarias automáticas guardadas fuera del servidor, con la restauración realmente probada.
  6. Un firewall de aplicaciones web (WAF) delante del sitio y el acceso al panel restringido.
  7. PHP en una versión con soporte y los permisos de archivo configurados correctamente.
  8. Alguien responsable de vigilar todo lo anterior: una persona con nombre y apellidos, no una esperanza.

El punto ocho es el que falla más a menudo, y es la razón de ser íntegra de que existan los planes de mantenimiento.

Preguntas frecuentes

¿Puedo limitarme a restaurar una copia de seguridad y seguir adelante?

Restaurar elimina los síntomas visibles, pero conserva la vulnerabilidad y, a menudo, la puerta trasera, si la copia es posterior a la intrusión inicial (los atacantes suelen permanecer ocultos durante semanas antes de hacer nada visible). Sin encontrar y cerrar la vía de entrada, la reinfección es cuestión de días. "Restaurar y rezar" es el motivo más habitual por el que los sitios llegan hasta nosotros hackeados por segunda o tercera vez.

¿Por qué iba nadie a hackear mi pequeña web?

Nadie te eligió: te encontró un bot. Los sitios comprometidos son mercancía: se monetizan para alojar spam, inyectar enlaces de SEO, montar páginas de phishing, distribuir malware y criptominar. El valor de tu sitio para un atacante es su reputación limpia y sus recursos de servidor gratuitos, no tu contenido.

¿Desaparecerá el aviso de Google después de la limpieza?

Sí: tras una limpieza verificada solicitamos una revisión a través de Google Search Console, y los avisos suelen retirarse en pocos días. Las páginas de spam inyectadas pueden persistir algo más en los resultados de búsqueda mientras Google vuelve a rastrear; nosotros gestionamos las peticiones de eliminación y vigilamos hasta que tus resultados queden limpios.

Mi proveedor de alojamiento ha suspendido mi cuenta. ¿Aun así podéis ayudarme?

Sí. Es lo habitual: nos coordinamos con el proveedor, obtenemos los archivos, los logs y la base de datos (los proveedores colaboran cuando hay una limpieza profesional en marcha), realizamos la recuperación y le facilitamos al proveedor la confirmación que necesita para restablecer el servicio. Si el incidente revela que el propio alojamiento forma parte del problema, pasarse a nuestro alojamiento gestionado es sencillo en ese momento.

El sitio es muy antiguo: Joomla 1.5 / 2.5. ¿Es siquiera recuperable?

Recuperable, sí: tu contenido y tus datos siempre se pueden salvar. Pero no puede hacerse seguro en su plataforma original, porque no existen parches de seguridad para ella. Para sitios tan antiguos, recuperar significa extraer y limpiar tu contenido y después reconstruirlo sobre un Joomla moderno. Acabas recuperando tu sitio, más rápido y con soporte, en lugar de un parche que sigue siendo un lastre.

¿Tengo que notificar el hackeo según el RGPD?

Solo si es probable que se hayan visto comprometidos datos personales y la brecha supone un riesgo para los afectados, lo cual depende de lo que almacene tu sitio y de lo que alcanzara el atacante. Nuestro informe forense te da la base factual para esa decisión; el plazo de 72 horas hace imprescindible actuar con rapidez. En caso de duda, busca asesoramiento pronto, no tarde.

Recupera tu sitio

Cuanto antes se gestione bien una intrusión, menor será el daño: para tus visitantes, para tu posicionamiento de búsqueda y para tu reputación. Cuéntanos qué estás viendo y te responderemos con una evaluación y un presupuesto cerrado.

Contáctanos para una recuperación urgente →

¿No te han hackeado, solo estás preocupado? Nuestra auditoría gratuita del sitio comprueba tu versión de Joomla, las vulnerabilidades conocidas y tu nivel de seguridad antes de que lo haga cualquier otro.

También te puede interesar