Este artículo es una guía paso a paso para actuar cuando una cuenta bajo tu plan de reventa envía spam, aloja malware o fue comprometida, usando WHM.
Prioridad: Actuá rápido. Una cuenta comprometida puede afectar la reputación del servidor, bloquear correo de otros clientes y generar listas negras (RBL).
Señales de alerta
- Aviso del proveedor o del servidor por envío masivo de correo.
- Cola de correo muy grande en Mail Queue Manager.
- Cliente reporta redirecciones, anuncios o contenido que no subió.
- Google o navegadores marcan el sitio como peligroso.
- Subida brusca de disco, CPU o transferencia en List Accounts.
- Archivos recientes sospechosos (
.phpcon nombres aleatorios enuploads, etc.).
Paso 1: Contener (inmediato)
- Ingresá a WHM → Account Functions → Manage Account Suspension.
- Suspendé la cuenta afectada (conserva datos; corta web y correo).
- Anotá en Reason el motivo (ej. “spam 12/03/2026” o “malware reportado”).
Si el proveedor ya suspendió la cuenta, no la desuspendas hasta limpiar.
Paso 2: Cambiar credenciales
- WHM → Account Functions → Password Modification → nueva contraseña fuerte de cPanel.
- Desde el cPanel de la cuenta (o pedí al cliente): cambiar contraseñas de todas las casillas de correo y FTP.
- Si usan WordPress u otro CMS: cambiar contraseña de administrador y claves en
wp-config.phpsi fueron expuestas.
Paso 3: Revisar correo y cola
- WHM → Email → Mail Queue Manager (si está disponible): identificá remitente y volumen.
- WHM → Email → Modify Max Email per Hour: bajá el límite temporalmente si hace falta.
- Revisá si hay scripts PHP enviando correo (
mail()en archivos desconocidos).
Paso 4: Revisar archivos (cPanel vía WHM)
- List Accounts → cPanel → File Manager.
- Buscá en
public_html,wp-content/uploads,tmp: archivos.phprecientes con nombres raros. - Revisá
.htaccesspor redirecciones a dominios externos. - Comprobá plugins/temas de WordPress desactualizados o nulled.
Paso 5: Limpiar o restaurar
| Situación | Acción |
|---|---|
| Tenés backup limpio reciente | Restaurá archivos/base desde backup anterior al incidente + contraseñas nuevas. |
| Infección acotada (un archivo) | Eliminá el archivo malicioso, actualizá CMS/plugins, cambiá claves. |
| Infección extendida o desconocida | Escalá a soporte del proveedor o servicio de limpieza profesional. |
No hagas: Desuspender la cuenta sin limpiar; restaurar un backup del mismo día del hack (puede incluir malware); ignorar el aviso del proveedor.
Paso 6: Después de limpiar
- Actualizá WordPress, plugins, temas y PHP si aplica.
- Verificá SSL/TLS Status y que el sitio cargue bien.
- Revisá Email Deliverability en cPanel (SPF/DKIM).
- Unsuspend solo cuando el sitio y el correo estén limpios.
- Informá al cliente buenas prácticas (contraseñas, actualizaciones).
Cuándo escalar a soporte
- El servidor sigue en listas negras tras limpiar.
- No encontrás el origen del spam o del malware.
- El proveedor exige intervención antes de reactivar.
- Hay indicios de acceso root o compromiso del servidor completo.
Abrí un caso desde el portal de clientes con dominio, usuario cPanel y hora del incidente. También podés consultar por el chat online del sitio.