Conocido como Japanese keywords hack o ataque de SEO negativo japonés. Este malware spam basado en estrategias Blackhat SEO está afectando a miles de sitios web. Muchos usuarios están reportando al foro de Google capturas de pantalla de sus páginas. El título y la metadescripción aparece con caracteres en japoneses.
Descubrí este ataque a través de un cliente. Tenía el encargo de renovar su página web, y durante la auditoría off-page descubrí más de 190 direcciones tóxicas. ¿Motivos? Su antigua plataforma CMS no estaba actualizada.
Hoy veremos como solucionar el ataque de spam japonés paso a paso y cómo reforzar nuestra seguridad en WordPress.
Puede ser por muchos motivos. Las plataformas más afectadas por este ataque de spam han sido WordPress, Drupal, Joomla! y Magento. ¿Sorprendido? Los tres CMS más utilizados en internet para la creación de contenidos. Aunque son sistemas muy seguros, la falta de mantenimiento de estos sitios genera peligrosas vulnerabilidades.
Estas páginas de SPAM basadas en SEO Blackhat se autogeneran y contienen enlaces de afiliación a tiendas que venden productos de marca falsificado. Los hackers generan ingresos pasivos gracias a estos enlaces salientes insertados en tu página. Es un “linkbuilding” a gran escala para incrementar visitas.
Uno de los grandes motivos es la falta de actualizaciones. Estos agujeros son “puertas traseras” por las cuales los crackers inyectan los códigos maliciosos. No es solo un problema de SEO, no basta con limpiar las SERPs de Google. Debemos desinfectar nuestra web y cerrar las puertas para evitar una réplica.
Existen varios métodos para verificar si tu sitio web ha sido infectado.
Accede a Google.com a través de tu navegador y escribe
site:[URL de tu web]
Con esta instrucción, Google te mostrará todas las URL’s indexadas de tu dominio. Revisa los resultados en búsqueda de alguna dirección sospechosa que tu no hayas generado. Si has sido atacado por spam japonés, lo verás rápidamente. Tanto el título como la meta descripción quedan afectados y aparecen textos en japonés.
Repite la prueba en otros buscadores como Bing o Yahoo. Son menos populares, pero también indexan páginas. Si has sido hackeado, hay posibilidades de réplica.
A través de la pestaña Seguridad y Acciones Manuales podrás verificar si existe alguna alerta por parte de Google. Si la hay, te mostrará las URL’s infectadas.
Si accedes a una página afectada, probablemente de devuelva un error 404 o no encontrado. ¿Significa que estoy a salvo? Para nada.
El cloacking (ocultación) es una técnica black hat SEO ? muy común, basada en mostrar un resultado u otro en función de quién la visita (usuario o google bot). Lógicamente es una práctica penalizada por Google ya que su objetivo es manipular los resultados de búsqueda.
Para verificar las páginas, accede a la pestaña Inspección de URL’s en Google Search Console, escribe la URL, analízala y luego pulsa el botón “Ver página rastreada” y “Más información”. Se abrirá un informe más detallado en tu derecha.
¿Te devuelve un código 200 OK? Perfecto, tu página no contiene contenido oculto.
Antes de realizar el proceso de eliminación, debes tomar en consideración algunas acciones manuales para evitar que tus lectores sean enviados a estas URL’s fraudulentas. Recuerda que tu comunidad es tu mayor activo y debes protegerlos.
El proceso de desinfección se divide en dos fases. Primero os mostraré como limpiar WordPress y después como forzar la desindexación o eliminación de las URL’s tóxicas de Google. El proceso será el mismo para los otros buscadores.Para realizar estas acciones necesitas tener nociones básicas de FTP. Te recomiendo hacerlo a través de un gestor de archivos como FileZilla o a través del cPanel. Si en algún momento te pierdes, contacta con tu hosting. Si no te atienden, cámbiate al mejor hosting para WordPress 🙂
El primer paso es analizar tu ordenador en busca de malware. A parte de WordPress, debemos descartar que tengas archivos infectados en tu equipo. Por ejemplo, pueden acceder a la contraseña de tu FTP si estás utilizando un cliente en local.
Utiliza un antivirus que tenga en cuenta el malware como ESET o Norton.
Accede a tu panel de administración en tu hosting y realiza un cambio de contraseña. Además, modifica también el password de acceso a los archivos FTP. No pongas un password cualquiera, utiliza una combinación de alta seguridad de mínimo 16 caracteres. Utiliza un generador de contraseñas y anótala en un sitio seguro. La mejor contraseña es aquella que no puedes recordar.
,x<9]:ZskD+w&fUGF5z<~_b!$/Y*@s-t
Accede a la página oficial de WordPress y obtén la última versión. Debemos machacar los archivos antiguos por los nuevos. Una instalación limpia nos garantiza que los archivos core están libres de spam.
Descomprime los archivos en una carpeta local en tu PC o Mac. Puedes utilizar cualquier herramienta gratuita como WinRAR o 7Zip. Luego seguiremos con ellos…
Dentro de la carpeta de WordPress deberías ver una estructura de archivos como esta:
wp-admin wp-content wp-includes index.php license.txt readme.html wp-activate.php wp-blog-header.php wp-comments-post.php wp-config.php wp-config-sample.php wp-cron.php wp-links-opml.php wp-load.php wp-login.php wp-mail.php wp-settings.php wp-signup.php wp-trackback.php xmlrpc.php
ELIMINA todos los archivos excepto la carpeta wp-content i el archivo wp-config.php
Ahora, deberías ver solo estos dos elementos:
wp-content wp-config.php
Accede al cPanel > Gestor de Archivos, localiza el archivo wp-config.php y edítalo. Revisa que no exista algún código de apariencia sospechosa. Si está infectado, verás una larga cola de texto aleatorio similar a esto:
$ O_O0O_O0_0 = urldecode ( "% 6E1% 8A% 62% 2F% 6D% 615% 5C% 76% 740% 6928% " );
Para estar doblemente seguro, puedes compararlo con el archivo original de WordPress wp-config-sample.php que hemos descargado y descomprimido anteriormente.
Puedes utilizar el programa sublime text para editar el archivo PHP que está en local. Es gratuito y compatible con PC y Mac.
Ahora accede a la carpeta wp-content. Deberías ver lo siguiente:
plugins themes uploads index.php
Haz una lista de los plugins que estás utilizando actualmente. Después elimina la carpeta plugins y el archivo index.php. No te preocupes, volveremos a instalar los plugins una vez acabemos este proceso.
Ahora accede a la carpeta themes y revisa manualmente los archivos de tu plantilla. Igualmente, si quieres estar seguro, te recomiendo volver a descargar la plantilla desde su web original e instalarla de nuevo. Si optas por esta opción (recomendada) puedes eliminar la carpeta themes.
Revisa también la carpeta uploads y verifica que no hay archivos sospechosos. En este espacio se almacenan los medios que subimos (normalmente fotografías en JPEG y PNG). Si detectas una archivo inusual (por ejemplo, un php) debes eliminarlo.
Sube los archivos frescos de WordPress que hemos descomprimido al servidor a través de FTP. Recuerda que si has borrado la carpeta themes, deberás volver a cargar la plantilla una vez accedas al panel de administración de WordPress.
Ahora deberías tener acceso al panel de administración y poder cambiar la contraseña.
Soy muy pesado, pero es importante introducir una contraseña larga y difícil. Utiliza un generador de contraseñas para no correr riesgos. Si optas por algo simple al estilo “Yogui777” tu página volverá a ser jaqueada. Hecho esto, revisa la lista de los plugins que tenías operativos y vuelve a instalarlos. Pero antes una advertencia…
No instales plugins que no estén actualizados. Si esto pasa, busca una alternativa al mismo. Una extensión desatendida es un potencial agujero de seguridad.
Por motivos de seguridad y para evitar dejar cabos sueltos, revisa si hay algún usuario no autorizado con acceso a la web en tu Search Console. Si es así, elimínalo inmediatamente. Puedes consultar aquí los pasos a seguir para ver los usuarios verificados y gestionar sus permisos.
Uno de los archivos más importantes de WordPress es el .htaccess. A primera vista no lo verás dentro de la FTP, ya que está marcado como oculto. Para verlo, utiliza tu programa FTP (FileZilla por ejemplo) y activar la opción “Ver archivos ocultos”. Seguidamente abre el archivo y verifica que no haya alguna instrucción maliciosa.
Un archivo .htaccess limpio deber contener lo siguiente:
# BEGIN WordPress <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress
Ahora tu página web ya está libre de malware, y debes notificarlo a Google. Accede nuevamente al apartado de seguridad de Google Search Console y marca como solucionado el problema.
¿Hemos acabado? Técnicamente sí, pero vamos a ir un paso mas allá y forzaremos la eliminación de las URL’s tóxicas de los índices de Google.
Para eliminar estás direcciones debenos notificar a Google su eliminación mediante la herramienta de eliminación de URL’s disponible en la versión antigua de Google Search Console.
Para acceder a ella, debes ir al panel izquierdo y hacer click en la última opción “Ir a la versión anterior“.Menú Indice de Google > Eliminar URL’s > click en Ocultar Temporalmente
Introduces la URL tóxica y confirmas su eliminación.
Y así sucesivamente hasta eliminar todas las URL’s tóxicas. Como he mencionado inicialmente, yo tuve que eliminar a mano más de 190 direcciones. Por desgracia no existe el modo “bulk” para hacerlo masivamente, y cuando Google solo permita la versión nueva de Search Console esperemos que no esta opción se incorpore.
Si genera errores 404, con el tiempo se acaban desindexando, pero es un proceso más lento. Por cierto, ¡No hagas redirecciones 301!
Veréis que las peticiones quedan como Pendiente. Es normal, pasadas unas 48-72 horas su estado cambiará y las direcciones habrán sido eliminadas de los índices de Google.
¡Ya has solucionado el problema! Ahora debes reforzar la seguridad de tu WordPress. Si te han infectado el site, será por algún motivo. Veamos algunas acciones que puedes aplicar desde ya para mejorar la seguridad de tu página web.
Espero que todo esto te sirva para solucionar este problema 🙂
How to remove malware from WordPress by SecurePress
How to fix japanese keywords hack by WPHacked
Fixing the japanesse keyword hack by Google.com
Japanese SEO Spam, causes and fixes by CzarSecurities