No sabes cuántas veces me han hecho esa pregunta. La respuesta no es que alguien quiere jugarte una mala pasada porque le caes mal o porque tiene envidia de lo bien que te va con tu página. La respuesta es simple: lo hacen por dinero.
Cuando algún hacker se hace con el control de un dominio utilizando la fuerza bruta para reventar la contraseña de acceso a tu WordPress o al ftp del servidor, lo primero que suele hacer es modificar la carpeta raíz de tu instalación y crear nuevas carpetas, en donde cargará una serie de archivos php con los que comenzará a enviar correo spam (php mailer). Estos correos spam normalmente contendrán uno o varios enlaces hacia otras páginas web (o hacia la tuya propia, habiendo creado subdominios o carpetas nuevas), convenientemente modificadas y preparadas para vender una serie de artículos, normalmente robados u obtenidos a través de contrabando.
En ocasiones, tu página principal puede ser transformada en una copia (a menudo idéntica) de algún servicio que requiere el inicio con credenciales de acceso, como puede ser Gmail, Drive, OneDrive, etc. De esta manera, se hacen con los datos de acceso de las cuentas de usuarios, que en muchas ocasiones contienen detalles de tarjetas de crédito; o con todos los ficheros que puedan tener subidos en la nube.
La gente de Wordfence ha publicado un artículo muy interesante en su blog (en inglés) en el que realizan el análisis de un ataque de fuerza bruta, perpetrado por parte de un servidor perteneciente a una organización criminal y en el que obtuvieron y siguieron las direcciones IP de los implicados.
Copias de Seguridad
Es imprescindible que el servidor en donde tengas alojada tu web tenga activado el servicio de copias de seguridad periódicas. Éstas, en el mejor de los casos, deberían ser diarias (o a lo sumo, realizarse en días alternos), semanales y mensuales (nunca se sabe cuando la necesitarás); y deberán incluir tanto los archivos de tu cuenta ftp como la/s base/s de datos de tu WordPress.
No te preocupes, casi con total seguridad tu proveedor de hosting ya tenga configuradas las opciones de backups; pero si quieres estar más tranquil@, siempre puedes instalar un plugin que realice respaldos de tu WordPress.
Para ello, puedes utilizar un programa de pago, como puede ser BackupBuddy o uno gratuito como Duplicator (próximamente haré un tutorial sobre su manejo y configuración).
Duplicator te puede servir también en el futuro si necesitas trasladar tu WordPress de un servidor a otro sin mayores complicaciones (yo lo utilizo todo el tiempo en el desarrollo de webs
), ya que su principal función es la de crear un paquete comprimido de todo nuestro sitio, con sus plugins, base de datos, archivos, etc. y un instalador que se podrá subir al nuevo server y dejarlo funcionando con unos pocos clics.Te recomiendo también que revises el artículo de Seguridad en WordPress, 3 Plugins imprescindibles en donde recomiendo varias soluciones que servirán para reforzar la seguridad de nuestro sitio.