Ir al contenido principal

¿Cómo eliminar el aviso rojo de Google “Sitio engañoso”?

Actualizado esta semana

En Sered recibimos con frecuencia consultas de clientes que ven el temido aviso rojo de Google indicando que su sitio web es “peligroso” o “engañoso”.

Ver este mensaje puede generar preocupación y hacer pensar que la web está comprometida, pero no siempre significa que tu sitio siga infectado. En muchos casos, se trata simplemente de que Google ha detectado algún problema de seguridad que necesita ser revisado y confirmado.

🔴 ¿Qué significa el aviso rojo de Google y por qué aparece?

Esta advertencia se muestra cuando Google detecta posibles amenazas en tu sitio, como malware, phishing o código sospechoso. El aviso no desaparecerá automáticamente hasta que se resuelvan los problemas y se solicite una revisión manual, momento en el cual los bots de Google confirmarán que el sitio es seguro.

En esta guía te explicamos paso a paso cómo identificar problemas, limpiar tu sitio y solicitar a Google que retire la advertencia, para que tu web vuelva a estar completamente accesible y confiable.

A continuación, te explicamos paso a paso cómo confirmar que tu web está limpia y cómo pedirle a Google que retire la penalización.

✅ Paso 1: Antes de continuar, asegúrate de que la web está realmente limpia

Solicitar una revisión a Google sin haber eliminado el problema de raíz es un error grave. Si los bots de Google detectan que el código malicioso sigue ahí, rechazarán la solicitud y la próxima revisión podría tardar mucho más.

Asegúrate de haber revisado tu web. Si todavía no has realizado la limpieza completa del sitio, te recomendamos seguir primero esta guía paso a paso: 👉 Cómo detectar, limpiar y proteger tu WordPress tras un hackeo

🔎 Paso 2: Cómo comprobar el estado en Google Search Console

Si no tienes tu web dada de alta en Google Search Console, debes hacerlo ahora mismo. Es la única vía de comunicación directa con Google para solucionar este problema.

Si aún no has verificado tu sitio, puedes seguir esta guía primero: 👉 Cómo verificar tu sitio web con Google Search Console

Una vez dentro, sigue estos pasos:

  1. En el menú lateral izquierdo, ve a la sección Seguridad y acciones manuales.

  2. Haz clic en Problemas de seguridad.

Aquí Google te detallará exactamente qué ha encontrado:

  • El tipo de amenaza detectada (Inyección de URL, Phishing, Malware, etc.).

  • Las URLs específicas que están afectadas.

  • La fecha de detección.

💡 Nota: Si en esta sección aparece el mensaje "No se ha detectado ningún problema", pero sigues viendo la pantalla roja, es muy probable que estés viendo una versión guardada en la caché de tu navegador o que tu antivirus local esté bloqueando el acceso. Borra la caché y vuelve a probar.

📩 Paso 3: Cómo solicitar la revisión de seguridad a Google

Si tu sitio ya está 100% limpio y has comprobado las URLs que Google te marcaba en el paso anterior, es el momento de solicitar la revisión.

  1. Dentro de la pantalla de Problemas de seguridad, verás un botón o casilla que dice "Solicitar una revisión".

  2. Marca la casilla indicando que el problema se ha solucionado.

  3. Se abrirá un cuadro de texto donde debes explicar qué ha pasado. Este paso es vital. A Google le gusta saber que entiendes qué provocó la vulnerabilidad y qué has hecho para solucionarlo.

📝 Plantilla recomendada para enviar a Google:

Puedes copiar y pegar este texto, adaptándolo a tu caso:

Hola, equipo de Google. Hemos identificado y solucionado el problema de seguridad en nuestro sitio web. La vulnerabilidad se produjo por [ELEGIR: un plugin desactualizado / una contraseña débil / un archivo vulnerable].

Acciones realizadas:

  1. Hemos limpiado los archivos infectados y restaurado el núcleo de [WordPress/CMS].

  2. Hemos limpiado la base de datos eliminando las inyecciones de código.

  3. Hemos actualizado todos los plugins, temas y contraseñas.

  4. Hemos implementado [añadir medida, ej: Autenticación en dos pasos (2FA) / un firewall de aplicaciones (WAF)].

El sitio está completamente limpio y seguro para los usuarios. Solicitamos amablemente la revisión y retirada de la advertencia. Gracias.

⏱️ ¿Cuánto tarda Google en retirar el aviso?

Una vez enviada la solicitud, toca tener paciencia. Los tiempos varían según el tipo de infección detectada:

  • Phishing / Suplantación de identidad: Suele ser rápido. Tarda desde unas pocas horas hasta 1 o 2 días.

  • Malware general: Tarda entre 1 y 5 días.

  • Infecciones complejas (Spam SEO, inyecciones graves): Puede demorarse hasta una semana o más.

Durante este tiempo de revisión, es completamente normal que la advertencia roja siga apareciendo en los navegadores.

⚠️ Errores comunes que retrasan la eliminación del aviso

Si la revisión es rechazada, suele deberse a uno de estos fallos. Revísalos antes de enviar tu solicitud:

  • No limpiar la base de datos: Muchos usuarios solo borran archivos por FTP o el Administrador de Archivos, pero olvidan limpiar las inyecciones en las tablas (por ejemplo, en wp_posts o wp_options usando phpMyAdmin).

  • Olvidar los subdominios: Si tienes un subdominio infectado (ej: test.tudominio.com), afectará al dominio principal.

  • Dejar puertas traseras (Backdoors): Archivos PHP camuflados que permiten al atacante volver a entrar.

  • No vaciar la caché: Si usas Cloudflare, LiteSpeed o plugins de caché, vacía toda la caché después de limpiar, o Google seguirá leyendo el código malicioso guardado en ella.

🛡️ Cómo evitar que el aviso vuelva a aparecer (y no volver a ser hackeado)

Una vez que Google retire el aviso rojo y recuperes tu tráfico, el trabajo no ha terminado. Debes blindar tu sitio:

  1. Mantén todo actualizado: El 90% de las infecciones en WordPress entran por plugins desactualizados.

  2. Usa contraseñas robustas: Cambia las contraseñas de cPanel, FTP, base de datos y administrador de WordPress.

  3. Revisa la versión de PHP: Asegúrate de estar usando una versión de PHP soportada y actualizada desde tu cPanel: Guía para cambiar la versión de PHP utilizando MultiPHP y PHP Selector.

Si quieres profundizar en cómo detectar vulnerabilidades, limpiar correctamente una web infectada y reforzar la seguridad de tu WordPress, no olvides seguir nuestra guía completa: ¿Cómo detectar, limpiar y proteger tu WordPress?

Si encuentras cualquier dificultad o tienes alguna pregunta, no dudes en contactar con nuestro equipo de soporte técnico a través de la dirección de correo electrónico [email protected] o mediante el chat en vivo desde tu área de clientes para obtener asistencia adicional.

Artículos relacionados
¿Cómo limpiar la cache del navegador de forma sencilla?
¿Cómo configurar LiteSpeed Cache en WordPress (2026)?
Solucionar problemas de error crítico en Wordpress
¿Cómo verificar tu sitio web con Google Search Console?
¿Cómo detectar, limpiar y proteger tu WordPress? (2026)
¿Ha quedado contestada tu pregunta?