Usuarios admin desconocidos en WordPress: qué hacer y cómo eliminarlos sin reinfección

Usuarios admin desconocidos en WordPress

Si entraste a tu WordPress y viste un administrador que no reconoces, no lo trates como “algo raro” sin más: normalmente significa una de dos cosas: alguien ya tuvo acceso o todavía lo tiene. Y cuando hay un admin intruso, el problema no es solo ese usuario… es lo que pudo haber hecho: crear puertas traseras, cambiar correos, inyectar código, o dejar algo programado para volver.

Lo que vas a lograr hoy:

  • Contener el incidente para que el intruso no siga actuando.
  • Recuperar control aunque te hayan cambiado permisos o datos.
  • Dejar el sitio listo para eliminar al admin intruso de forma segura (sin que reaparezca).

Importante: si tu web tiene WooCommerce o formularios con datos, actúa con prioridad alta. Un admin intruso puede añadir scripts sin que tú lo notes.

Índice
  1. Señales de que no es un “error”, sino acceso real
  2. Plan de emergencia (primeros 10–15 minutos): corta el acceso del intruso
  3. Qué NO hacer todavía (errores que hacen que el intruso vuelva)
  4. ¿Por qué aparece un admin desconocido? (la causa real casi siempre está aquí)
  5. Lecturas internas recomendadas
  6. Cómo eliminar el admin intruso sin romper tu web (y sin que reaparezca)
  7. 1) Confirma que el “admin desconocido” realmente es intruso
  8. 2) Asegura tu “punto de retorno” antes de eliminar
  9. 3) Elimina el usuario intruso (sin perder contenido importante)
  10. 4) Si el admin vuelve a aparecer: asume backdoor o acceso al servidor
  11. 5) Audita “la puerta” más común: plugins y themes
  12. 6) Revisa los 4 escondites típicos de backdoors (los que casi nadie mira)
  13. 7) Rota “llaves internas” para invalidar sesiones antiguas
  14. 8) Validación en 24–48 horas (señales de que realmente quedó resuelto)
  15. Blindaje definitivo: evita que vuelvan a crear admins y endurece tu WordPress
  16. Reduce el riesgo con el principio “menos cosas = menos ataques”
  17. Refuerza cuentas y sesiones (lo que más frena “vuelvo a entrar”)
  18. Evita que el acceso vuelva por “afuera” (hosting/FTP/DNS)
  19. Monitoreo simple: detecta la reaparición antes de que te haga daño
  20. Si vuelve a pasar (o si el admin reaparece): no repitas, escala el enfoque
  21. Checklist final (si cumples esto, estás en zona segura)

Señales de que no es un “error”, sino acceso real

  • Apareció un usuario con rol Administrador que tú no creaste.
  • Tu usuario perdió permisos (te bajaron a “Editor” o algo similar).
  • Cambios de correo, nombre del sitio, plugins instalados sin explicación.
  • Reaparecen usuarios aunque los borres (señal de puerta trasera).
  • Hay redirecciones, SEO spam o archivos modificados recientemente.

Si además viste redirecciones o spam en Google, te conviene tener a mano estas guías:

Plan de emergencia (primeros 10–15 minutos): corta el acceso del intruso

Antes de borrar nada, tu prioridad es detener el daño. Piensa como si hubieras encontrado una puerta abierta en tu casa: primero la cierras, luego investigas.

1) Si todavía puedes entrar al wp-admin: activa modo mantenimiento

Si tu sitio está infectado o hay comportamientos raros, ponerlo en mantenimiento temporalmente reduce el riesgo de que:

  • más usuarios caigan en redirecciones
  • Google marque tu sitio como peligroso
  • se sigan ejecutando cambios mientras limpias

2) Haz un backup “de evidencia” (no para restaurar a ciegas)

Guarda una copia de archivos y base de datos. No porque quieras restaurar ese estado, sino porque te sirve para:

  • comparar qué cambió
  • recuperar información si algo sale mal
  • tener una referencia del momento en que detectaste el problema

3) Crea un admin seguro temporal (si no estás 100% seguro de tu acceso)

Esto suena contraintuitivo, pero es una jugada defensiva: si tu cuenta actual está comprometida o te cambian permisos, puedes quedarte fuera. Crea un admin nuevo con:

  • correo que controlas y que esté protegido
  • contraseña única y fuerte
  • nombre que tú reconozcas (para identificarlo luego)

Ojo: este admin es “de emergencia”. Más adelante dejaremos solo los admins necesarios.

4) Cambia accesos críticos (no solo WordPress)

Este paso es el que más evita que vuelvan a entrar. Cambia, en este orden:

  • Hosting/cPanel (si tienen esto, pueden volver aunque borres usuarios)
  • SFTP/FTP
  • Contraseñas de WordPress (todos los administradores)

Tip realista: muchas personas cambian la clave de WordPress y se quedan tranquilos… pero el atacante sigue entrando por hosting/FTP y re-crea el admin en minutos.

5) Cierra sesiones activas (cuando sea posible)

Si el intruso está dentro ahora mismo, cambiar la contraseña ayuda, pero cerrar sesiones es el golpe final. Además, en el refuerzo final conviene rotar llaves internas de WordPress para invalidar cookies antiguas.

Qué NO hacer todavía (errores que hacen que el intruso vuelva)

  • No borres al admin intruso sin asegurar hosting/FTP primero. Si tiene acceso al servidor, lo recrea.
  • No instales plugins “limpiadores” desconocidos por desesperación. Algunos empeoran el problema.
  • No te confíes si “ya no lo ves” en la lista: puede quedar un backdoor que lo crea de nuevo.
  • No uses themes/plugins nulled (piratas): son una causa común de admins intrusos.

¿Por qué aparece un admin desconocido? (la causa real casi siempre está aquí)

En WordPress, este escenario suele venir de:

  • Plugin vulnerable o desactualizado.
  • Theme/plugin nulled (con puerta trasera incluida).
  • Contraseña reutilizada (filtrada en otra web).
  • Acceso al hosting/FTP (no entraron por wp-admin, entraron por el servidor).
  • Contagio cruzado: otra web del mismo hosting estaba infectada y saltó a la tuya.

En el siguiente paso vamos a eliminar al usuario intruso de forma segura, revisar roles/capabilities, y buscar la “puerta” que permitió que aparezca. Si lo hacemos bien, esto no se repite.

Lecturas internas recomendadas

Cómo eliminar el admin intruso sin romper tu web (y sin que reaparezca)

Aquí es donde mucha gente comete el error clásico: ve el usuario raro, lo borra… y a los días vuelve a aparecer. Eso pasa cuando el atacante todavía tiene otra puerta (hosting/FTP, plugin vulnerable, backdoor). Por eso, antes de tocar “Eliminar”, asegúrate de que ya hiciste lo básico: cambié accesos críticos, tengo un admin seguro y guardé un backup de evidencia.

Objetivo: eliminar el administrador desconocido, recuperar control total y dejar señales claras de si hay persistencia (backdoor/reinfección).

1) Confirma que el “admin desconocido” realmente es intruso

Antes de borrar, valida esto rápido para no eliminar algo legítimo por error:

  • Correo: ¿es tuyo o de alguien del equipo? Si no lo reconoces, mala señal.
  • Fecha de registro: si se creó justo antes de que aparezcan redirecciones/spam, casi confirmado.
  • Nombre/usuario raro: combinaciones extrañas, números, nombres genéricos (“support”, “admin2”, “wpservice”).
  • Actividad reciente: cambios en plugins, themes, settings, usuarios nuevos.

Tip realista: a veces el intruso se crea como “Editor” o “Autor” y luego se sube a Admin cambiando capacidades. Si ves roles raros o permisos que no cuadran, trátalo como compromiso.

2) Asegura tu “punto de retorno” antes de eliminar

Esto te evita quedarte fuera si algo sale mal:

  • Confirma que existe un admin seguro que controlas.
  • Confirma que puedes entrar al hosting (cPanel/panel) y al SFTP/FTP.
  • Ten a mano el backup de evidencia.

Si todavía no estás seguro del estado general del sitio, apóyate con:

3) Elimina el usuario intruso (sin perder contenido importante)

Cuando eliminas un usuario en WordPress, te preguntará qué hacer con su contenido. Haz esto:

  • Si el intruso publicó páginas/posts: reasigna el contenido a tu admin seguro para poder revisar luego qué hizo.
  • Luego sí: elimina el usuario.

Por qué reasignar: a veces el atacante crea páginas de SEO spam o modifica contenido. Reasignar te permite auditar y borrar lo malo con control.

4) Si el admin vuelve a aparecer: asume backdoor o acceso al servidor

Si lo borras y vuelve, no es un “bug”. Es señal fuerte de:

  • acceso al hosting/FTP (te recrean usuarios desde fuera)
  • backdoor en mu-plugins, uploads, theme, o plugin
  • plugin vulnerable aún activo

Estos artículos satélite son los que más ayudan cuando hay persistencia:

5) Audita “la puerta” más común: plugins y themes

En la práctica, el 80% de casos se explica así: un plugin vulnerable o nulled permitió ejecutar código y crear un admin.

Checklist rápido:

  • Elimina plugins que no uses (no solo desactivar).
  • Actualiza plugins activos (y el core).
  • Si hay plugins “premium gratis / nulled”: elíminalos. Aunque “funcionen”.
  • Revisa si hay plugins que tú no instalaste (especialmente seguridad/SEO raros).

Si no quieres adivinar, la guía oficial de endurecimiento de WordPress te marca buenas prácticas:

6) Revisa los 4 escondites típicos de backdoors (los que casi nadie mira)

No necesitas “leer todo el código”. Solo revisa con intención:

A) mu-plugins

Si existe wp-content/mu-plugins/ y tú nunca lo usaste, revisa. Allí se cargan cosas automáticamente.

B) uploads

Busca si hay archivos .php dentro de uploads. Eso casi nunca debería existir.

C) theme (functions.php / header.php / footer.php)

Si ves scripts extraños, cadenas gigantes, o funciones ofuscadas, mala señal.

D) wp-config.php

El wp-config debería tener configuración, no “lógica” extra. Si ves includes raros o código largo, sospecha.

Para profundizar según lo que encuentres:

7) Rota “llaves internas” para invalidar sesiones antiguas

Esto es un golpe fuerte contra accesos persistentes (cookies/sesiones). Después de eliminar al intruso y asegurar accesos, rota las security keys para invalidar sesiones existentes.

8) Validación en 24–48 horas (señales de que realmente quedó resuelto)

En las siguientes 24–48 horas, revisa:

  • No aparece de nuevo el admin intruso.
  • No se crean usuarios nuevos solos.
  • No reaparecen redirecciones ni scripts raros.
  • No se vuelven a modificar archivos críticos sin explicación.

Si algo de esto falla, no pierdas tiempo repitiendo lo mismo: ya es un caso de persistencia. Ve directo a:

Blindaje definitivo: evita que vuelvan a crear admins y endurece tu WordPress

Eliminar al administrador intruso es solo la mitad del trabajo. Lo que te protege de verdad es cerrar la causa (la “puerta”) y montar un sistema simple para enterarte rápido si algo vuelve a pasar. Aquí tienes un plan práctico, sin rodeos, para que tu WordPress no quede vulnerable otra vez.

Reduce el riesgo con el principio “menos cosas = menos ataques”

1) Elimina plugins y themes que no uses (no solo desactivar)

Desactivado no significa fuera. Un plugin viejo en el servidor sigue siendo una superficie de ataque si tiene vulnerabilidades. Haz una limpieza real:

  • borra plugins que no aporten valor
  • borra themes que no uses (deja solo el activo y uno de respaldo)
  • evita plugins duplicados que hacen lo mismo

2) Actualiza con disciplina (especialmente seguridad)

La reinfección suele llegar por el mismo plugin desactualizado. Tu regla mínima:

  • revisar actualizaciones al menos 1 vez por semana
  • si hay actualización de seguridad, aplicar cuanto antes

Para buenas prácticas generales, WordPress mantiene una guía oficial:

Refuerza cuentas y sesiones (lo que más frena “vuelvo a entrar”)

3) Contraseñas únicas + 2FA para administradores

Si una contraseña se reutiliza, no se “adivina”, se filtra. Asegura al menos a todos los administradores con:

  • contraseñas únicas (no repetidas en otras webs)
  • 2FA en los accesos críticos

4) Rota llaves internas de WordPress cuando hay incidente

Esto invalida sesiones y cookies antiguas. Es especialmente útil si sospechas que el intruso seguía “logueado” aunque cambies contraseñas.

5) Minimiza administradores (mínimo privilegio)

Muchos sitios tienen 3–5 admins por costumbre. Deja admin solo a quien configura el sitio. El resto, roles menores. Menos admins = menos riesgo de toma total.

Evita que el acceso vuelva por “afuera” (hosting/FTP/DNS)

6) Asegura hosting y FTP/SFTP como si fueran la puerta principal

Si el atacante tuvo acceso al hosting, puede recrear usuarios aunque tú los borres desde WordPress. Por eso, además de WP:

  • cambia contraseña de panel de hosting
  • cambia credenciales de SFTP/FTP
  • elimina usuarios FTP que no uses

7) Si tu dominio o DNS se ven raros, revisa “DNS hijacking”

Cuando el sitio apunta a otro servidor o te aparece una web diferente aunque “WordPress esté bien”, puede ser tema de DNS.

Monitoreo simple: detecta la reaparición antes de que te haga daño

8) Señales que debes revisar cada 2–3 días durante 2 semanas

  • lista de usuarios: ¿aparecen nuevos admins?
  • plugins instalados: ¿apareció alguno que no pusiste?
  • archivos: ¿se modifican wp-config.php, functions.php o mu-plugins?
  • comportamiento: ¿redirige solo en móvil o desde Google?

9) Si tu síntoma fue SEO spam o redirecciones, vigila Google

Cuando te atacan con spam, a veces el sitio “se ve bien” pero Google sigue indexando basura. Te conviene complementar con:

Si vuelve a pasar (o si el admin reaparece): no repitas, escala el enfoque

Si reaparece el admin, si vuelven archivos solos o si notas reinfección, la prioridad es buscar persistencia (backdoor) y cerrar el agujero real. En ese caso, ve directo a:

Checklist final (si cumples esto, estás en zona segura)

  • Solo admins necesarios, el resto con roles menores.
  • Contraseñas únicas + 2FA en cuentas críticas.
  • Plugins y themes no usados eliminados.
  • Core, plugins y themes actualizados.
  • Hosting/FTP asegurados (sin usuarios sobrantes).
  • Llaves internas rotadas tras el incidente.
  • Sin .php sospechosos en uploads, sin mu-plugins raros.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir