Cómo solucionar el ataque de spam japonés blackhat SEO sin saber japonés

Conocido como Japanese keywords hack o ataque de SEO negativo japonés. Este malware spam basado en estrategias Blackhat SEO está afectando a miles de sitios web. Muchos usuarios están reportando al foro de Google capturas de pantalla de sus páginas. El título y la metadescripción aparece con caracteres en japoneses.

Descubrí este ataque a través de un cliente. Tenía el encargo de renovar su página web, y durante la auditoría off-page descubrí más de 190 direcciones tóxicas. ¿Motivos? Su antigua plataforma CMS no estaba actualizada.

Hoy veremos como solucionar el ataque de spam japonés paso a paso y cómo reforzar nuestra seguridad en WordPress.

¿Por qué mi WordPress ha sido víctima de un ataque de spam?

Puede ser por muchos motivos. Las plataformas más afectadas por este ataque de spam han sido WordPress, Drupal, Joomla! y Magento. ¿Sorprendido? Los tres CMS más utilizados en internet para la creación de contenidos. Aunque son sistemas muy seguros, la falta de mantenimiento de estos sitios genera peligrosas vulnerabilidades.

Estas páginas de SPAM basadas en SEO Blackhat se autogeneran y contienen enlaces de afiliación a tiendas que venden productos de marca falsificado. Los hackers generan ingresos pasivos gracias a estos enlaces salientes insertados en tu página. Es un “linkbuilding” a gran escala para incrementar visitas.

Uno de los grandes motivos es la falta de actualizaciones. Estos agujeros son “puertas traseras” por las cuales los crackers inyectan los códigos maliciosos. No es solo un problema de SEO, no basta con limpiar las SERPs de Google. Debemos desinfectar nuestra web y cerrar las puertas para evitar una réplica.

¿Cómo saber si estoy infectado por Spam Japonés?

Existen varios métodos para verificar si tu sitio web ha sido infectado.

#1 Ejecuta el comando site: en los buscadores

Accede a Google.com a través de tu navegador y escribe

site:[URL de tu web]

Con esta instrucción, Google te mostrará todas las URL’s indexadas de tu dominio. Revisa los resultados en búsqueda de alguna dirección sospechosa que tu no hayas generado. Si has sido atacado por spam japonés, lo verás rápidamente. Tanto el título como la meta descripción quedan afectados y aparecen textos en japonés.

ejemplo ataque keywords japonesas chinas

Repite la prueba en otros buscadores como Bing o Yahoo. Son menos populares, pero también indexan páginas. Si has sido hackeado, hay posibilidades de réplica.

ataque palabras chinas google seo

#2 Accede a Google Search Console y revisa las alertas de seguridad

A través de la pestaña Seguridad y Acciones Manuales podrás verificar si existe alguna alerta por parte de Google. Si la hay, te mostrará las URL’s infectadas.

alerta google search console ataque spam

#3 Revisión manual de las URL’s

Si accedes a una página afectada, probablemente de devuelva un error 404 o no encontrado. ¿Significa que estoy a salvo? Para nada.

El cloacking (ocultación) es una técnica black hat SEO ? muy común, basada en mostrar un resultado u otro en función de quién la visita (usuario o google bot). Lógicamente es una práctica penalizada por Google ya que su objetivo es manipular los resultados de búsqueda.

Para verificar las páginas, accede a la pestaña Inspección de URL’s en Google Search Console, escribe la URL, analízala y luego pulsa el botón “Ver página rastreada” y “Más información”. Se abrirá un informe más detallado en tu derecha.

google search console cloacking

¿Te devuelve un código 200 OK? Perfecto, tu página no contiene contenido oculto.

Cómo eliminar el ataque SEO japonés

Antes de realizar el proceso de eliminación, debes tomar en consideración algunas acciones manuales para evitar que tus lectores sean enviados a estas URL’s fraudulentas. Recuerda que tu comunidad es tu mayor activo y debes protegerlos.

  1. Alerta a tu hosting. Abre un ticket de soporte y ellos desactivaran tu sitio temporalmente mientras realizas la limpieza. También puedes hacerlo tu manualmente a través de cPanel.
  2. Realiza una copia de seguridad de los archivos CORE de WordPress y de la base de datos MySQL. Ten en cuenta que esta copia puede estar infectada, por lo que será nuestro último recurso.

El proceso de desinfección se divide en dos fases. Primero os mostraré como limpiar WordPress y después como forzar la desindexación o eliminación de las URL’s tóxicas de Google. El proceso será el mismo para los otros buscadores.Para realizar estas acciones necesitas tener nociones básicas de FTP. Te recomiendo hacerlo a través de un gestor de archivos como FileZilla o a través del cPanel. Si en algún momento te pierdes, contacta con tu hosting. Si no te atienden, cámbiate al mejor hosting para WordPress 🙂

#1 Realiza un escaneo en tu PC/Mac

El primer paso es analizar tu ordenador en busca de malware. A parte de WordPress, debemos descartar que tengas archivos infectados en tu equipo. Por ejemplo, pueden acceder a la contraseña de tu FTP si estás utilizando un cliente en local.

Utiliza un antivirus que tenga en cuenta el malware como ESET o Norton.

#2 Cambia las contraseñas de acceso a tu servicio de alojamiento

Accede a tu panel de administración en tu hosting y realiza un cambio de contraseña. Además, modifica también el password de acceso a los archivos FTP.  No pongas un password cualquiera, utiliza una combinación de alta seguridad de mínimo 16 caracteres. Utiliza un generador de contraseñas y anótala en un sitio seguro. La mejor contraseña es aquella que no puedes recordar.

,x<9]:ZskD+w&fUGF5z<~_b!$/Y*@s-t

#3 Descarga la última versión de WordPress

Accede a la página oficial de WordPress y obtén la última versión. Debemos machacar los archivos antiguos por los nuevos. Una instalación limpia nos garantiza que los archivos core están libres de spam.

#4 Descomprime el ZIP de WordPress

Descomprime los archivos en una carpeta local en tu PC o Mac. Puedes utilizar cualquier herramienta gratuita como WinRAR o 7Zip. Luego seguiremos con ellos…

#5 Accede a los archivos de tu web mediante FTP

Dentro de la carpeta de WordPress deberías ver una estructura de archivos como esta:

wp-admin
wp-content
wp-includes
index.php
license.txt
readme.html
wp-activate.php
wp-blog-header.php
wp-comments-post.php
wp-config.php
wp-config-sample.php
wp-cron.php
wp-links-opml.php
wp-load.php
wp-login.php
wp-mail.php
wp-settings.php
wp-signup.php
wp-trackback.php
xmlrpc.php

ELIMINA todos los archivos excepto la carpeta wp-content i el archivo wp-config.php

Ahora, deberías ver solo estos dos elementos:

wp-content
wp-config.php

Accede al cPanel > Gestor de Archivos, localiza el archivo wp-config.php y edítalo. Revisa que no exista algún código de apariencia sospechosa. Si está infectado, verás una larga cola de texto aleatorio similar a esto:

$ O_O0O_O0_0 = urldecode ( "% 6E1% 8A% 62% 2F% 6D% 615% 5C% 76% 740% 6928% " );

Para estar doblemente seguro, puedes compararlo con el archivo original de WordPress wp-config-sample.php que hemos descargado y descomprimido anteriormente.

Puedes utilizar el programa sublime text para editar el archivo PHP que está en local. Es gratuito y compatible con PC y Mac.

Ahora accede a la carpeta wp-content. Deberías ver lo siguiente:

plugins
themes
uploads
index.php

Haz una lista de los plugins que estás utilizando actualmente. Después elimina la carpeta plugins y el archivo index.php. No te preocupes, volveremos a instalar los plugins una vez acabemos este proceso.

Ahora accede a la carpeta themes y revisa manualmente los archivos de tu plantilla. Igualmente, si quieres estar seguro, te recomiendo volver a descargar la plantilla desde su web original e instalarla de nuevo. Si optas por esta opción (recomendada) puedes eliminar la carpeta themes.

Revisa también la carpeta uploads y verifica que no hay archivos sospechosos. En este espacio se almacenan los medios que subimos (normalmente fotografías en JPEG y PNG). Si detectas una archivo inusual (por ejemplo, un php) debes eliminarlo.

#6 Cargar los archivos limpios de WordPress

Sube los archivos frescos de WordPress que hemos descomprimido al servidor a través de FTP. Recuerda que si has borrado la carpeta themes, deberás volver a cargar la plantilla una vez accedas al panel de administración de WordPress.

#7 Cambia la contraseña de acceso a WordPress y instala los plugins

Ahora deberías tener acceso al panel de administración y poder cambiar la contraseña.

Soy muy pesado, pero es importante introducir una contraseña larga y difícil. Utiliza un generador de contraseñas para no correr riesgos. Si optas por algo simple al estilo “Yogui777” tu página volverá a ser jaqueada. Hecho esto, revisa la lista de los plugins que tenías operativos y vuelve a instalarlos.  Pero antes una advertencia…

No instales plugins que no estén actualizados. Si esto pasa, busca una alternativa al mismo. Una extensión desatendida es un potencial agujero de seguridad.

#8 Revisa los usuarios que tienen acceso a Search Console

Por motivos de seguridad y para evitar dejar cabos sueltos, revisa si hay algún usuario no autorizado con acceso a la web en tu Search Console. Si es así, elimínalo inmediatamente. Puedes consultar aquí los pasos a seguir para ver los usuarios verificados y gestionar sus permisos.

#9 Verifica el estado del archivo .htaccess

Uno de los archivos más importantes de WordPress es el .htaccess. A primera vista no lo verás dentro de la FTP, ya que está marcado como oculto. Para verlo, utiliza tu programa FTP (FileZilla por ejemplo) y  activar la opción “Ver archivos ocultos”. Seguidamente abre el archivo y verifica que no haya alguna instrucción maliciosa.

Un archivo .htaccess limpio deber contener lo siguiente:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

#9 Notifica a Google que has solucionado el problema

Ahora tu página web ya está libre de malware, y debes notificarlo a Google. Accede nuevamente al apartado de seguridad de Google Search Console y marca como solucionado el problema.

¿Hemos acabado? Técnicamente sí, pero vamos a ir un paso mas allá y forzaremos la eliminación de las URL’s tóxicas de los índices de Google.

Eliminar manualmente las URL’s japonesas

Para eliminar estás direcciones debenos notificar a Google su eliminación mediante la herramienta de eliminación de URL’s disponible en la versión antigua de Google Search Console.

Para acceder a ella, debes ir al panel izquierdo y hacer click en la última opción “Ir a la versión anterior“.Menú Indice de Google > Eliminar URL’s > click en Ocultar Temporalmente

Introduces la URL tóxica y confirmas su eliminación.

eliminar desindexar URL google japones

Y así sucesivamente hasta eliminar todas las URL’s tóxicas. Como he mencionado inicialmente, yo tuve que eliminar a mano más de 190 direcciones. Por desgracia no existe el modo “bulk” para hacerlo masivamente, y cuando Google solo permita la versión nueva de Search Console esperemos que no esta opción se incorpore.

Si genera errores 404, con el tiempo se acaban desindexando, pero es un proceso más lento. Por cierto, ¡No hagas redirecciones 301!

Veréis que las peticiones quedan como Pendiente. Es normal, pasadas unas 48-72 horas su estado cambiará y las direcciones habrán sido eliminadas de los índices de Google.

Mejora la seguridad de tu WordPress ?

¡Ya has solucionado el problema! Ahora debes reforzar la seguridad de tu WordPress. Si te han infectado el site, será por algún motivo. Veamos algunas acciones que puedes aplicar desde ya para mejorar la seguridad de tu página web.

  1. Activa la actualización automática del CORE de WordPress (cPanel)
  2. Actualiza los plugins regularmente y elimina los desatendidos.
  3. El usuario de acceso no debe ser “admin”. Demasiado fácil. ¡Cámbialo!
  4. Modifica regularmente tus contraseñas y aumenta su complejidad
  5. Limita los intentos de acceso con Limit Login Attempts Reloaded (aquí)
  6. Instala una suite de seguridad como Wordfence Security (aquí)
  7. No instales plantillas o plugins piratas o descargados de fuentes desconocidas.
  8. No asignes nunca permisos 777 a carpetas o archivos sensibles.

Espero que todo esto te sirva para solucionar este problema 🙂

 Fuentes consultadas

How to remove malware from WordPress by SecurePress
How to fix japanese keywords hack by WPHacked
Fixing the japanesse keyword hack by Google.com
Japanese SEO Spam, causes and fixes by CzarSecurities

SI TE HA GUSTADO, QUIZÁ ESTO TAMBIÉN TE INTERESE

Tengo una newsletter donde cuento trucos para mejorar tu web y que esos cambios impacten en su rendimiento. Son simples de aplicar que te harán ganar más visitas, ventas o lo que ofrezcas. 

Apuntarse es gratis. Darse de baja, también.
A VER ESOS CONSEJOS