Soluciona el hackeo de palabras clave y vínculos encubiertos

Esta guía se creó específicamente para un tipo de truco que agrega un alto contenido de palabras clave páginas sin sentido a tu sitio, a las que llamaremos las palabras clave encubiertas y hackeo de vínculos. Se diseñó para usuarios de sistemas de administración de contenido (CMS) populares, pero esta guía te resultará útil incluso si no usas un CMS.

Queremos asegurarnos de que esta guía te resulte realmente útil. Enviar comentarios para ayudarnos a mejorar.

Identifica este tipo de truco

Las palabras clave encubiertas y el hackeo de vínculos crean automáticamente muchas páginas con texto sin sentido, vínculos e imágenes. En ocasiones, estas páginas contienen información elementos de plantilla del sitio original, de modo que, a primera vista, las páginas podrían parecen partes normales de tu sitio hasta que leas el contenido.

Las páginas hackeadas se crearon para manipular los factores de clasificación de Google. Hackers suelen intentar monetizarlo vendiendo los vínculos de las páginas hackeadas a de terceros. A menudo, las páginas hackeadas también redireccionan a los visitantes a una una página no relacionada en la que los hackers pueden ganar dinero.

Para comenzar, revisa el Problemas de seguridad en Search Console para ver si Google descubrió alguna de estas páginas hackeadas en tu sitio. A veces, también puedes descubrir páginas como esta abriendo una aplicación Ventana de búsqueda y escribe site:_your site url_, con la URL de nivel raíz de tu sitio. Verás las páginas que indexó Google para tu sitio. incluidas las páginas hackeadas. Revisa algunas páginas de los resultados de la búsqueda para fíjate si detectas alguna URL inusual. Si no ves contenido hackeado en Google Búsqueda, utiliza los mismos términos de búsqueda con otro motor de búsqueda. Este es un ejemplo de cómo se vería:

Resultados de la búsqueda generados por este truco.
Las páginas hackeadas se muestran en los resultados de la Búsqueda de Google.

Por lo general, al hacer clic en un vínculo a una página hackeada, que te redireccione a otro sitio o que veas una página llena de texto incoherente. Sin embargo, es posible que también veas un mensaje que sugiera que la página no existe (en ejemplo, un error 404). No te dejes engañar. Los hackers intentarán engañarte para que consigas pensando que la página ya no existe o que está corregida cuando todavía está hackeada. Hacen esto encubrimiento contenido. Para comprobar el encubrimiento, ingresa las URL de tu sitio en el Herramienta de inspección de URLs. La herramienta Explorar como Google te permite ver el contenido oculto subyacente.

Si ves estos problemas, es probable que tu sitio se haya visto afectado por este tipo de hackear.

Una página de ejemplo creada por este truco.
Un ejemplo de una página creada por este truco.

Solucionar el truco

Antes de comenzar, haz una copia sin conexión de cualquier archivo antes de quitarlo, en en caso de que necesites restablecerlos más tarde. Mejor aún, crea una copia de seguridad de todo el sitio antes inicias el proceso de limpieza. Para hacerlo, guarda todos los archivos que se de tu servidor a una ubicación fuera del servidor o buscando la mejor copia de seguridad opciones para tu sistema de administración de contenido (CMS) específico. Si utilizas un CMS, también hace una copia de seguridad de la base de datos.

Revisa el archivo .htaccess (3 pasos)

Las palabras clave encubiertas y el hackeo de vínculos usan tu archivo .htaccess para crear páginas encubiertas en tu sitio. Familiarizarte con Conceptos básicos de .htaccess en el sitio oficial de Apache puede ayudarte a entender mejor cómo se ve afectan a tu sitio, pero no es necesario.

Paso 1

Busca el archivo .htaccess en tu sitio. Si no sabes dónde encontrarla y si usas un CMS como WordPress, Joomla o Drupal, busca “Ubicación del archivo .htaccess” en un motor de búsqueda, junto con el nombre de tu CMS. Según tu sitio, es posible que veas varios archivos .htaccess. Haz una lista de todas las ubicaciones de archivos .htaccess.

Paso 2

Abre el archivo .htaccess para ver su contenido. Busca una línea de un código similar al siguiente:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

Las variables de esta línea pueden cambiar. Tanto cj2fa como tobeornottobe pueden puede ser cualquier combinación de letras o palabras. Lo importante es identificar el .php a las que se hace referencia en esta línea.

Anota el archivo .php que se menciona en el archivo .htaccess. En el ejemplo, el archivo .php se llama injected_file.php, pero, en realidad, el nombre no se ser tan obvios. Suele ser un conjunto aleatorio de palabras inocuas, como horsekeys.php o potatolake.php. Es probable que se trate de un .php malicioso que tendremos que buscar y quitarlo más tarde.

Paso 3

Reemplaza todos los archivos .htaccess por una versión limpia o predeterminada de .htaccess . Por lo general, puedes encontrar la versión predeterminada de un archivo .htaccess si buscas para el “archivo .htaccess predeterminado” y el nombre de tu CMS. Para los sitios con varias .htaccess, busca una versión limpia de cada uno y realiza el reemplazo.

Si no existe un .htaccess predeterminado y nunca configuraste un archivo .htaccess en tu sitio, es probable que el archivo .htaccess que encuentres en el sitio sea malicioso. Guarda una copia de .htaccess archivo(s) sin conexión por si acaso de tu sitio.

Encuentra y quita otros archivos maliciosos (5 pasos)

Identificar archivos maliciosos puede ser complicado y llevar mucho tiempo. Tómate tu tiempo cuando revises tus archivos. Si aún no lo has hecho, este es un buen momento para crear una copia de seguridad de archivos en tu sitio. Realiza una búsqueda en Google de "copia de seguridad del sitio" y el nombre de tu CMS para encontrar instrucciones sobre cómo crear una copia de seguridad de tu sitio.

Paso 1

Si usas un CMS, reinstala todos los archivos principales (predeterminado) que vienen en la la distribución predeterminada de tu CMS y todo lo que hayas agregado (como como temas, módulos y complementos). Esto ayuda a garantizar que estos archivos contenido hackeado. Puedes buscar "reinstalar" en Google y el nombre de tu CMS encuentra las instrucciones de reinstalación. Si tienes complementos, módulos, extensiones asegúrate de reinstalarlos también.

Paso 2

Primero, busca el archivo .php que identificaste en .htaccess. que se creó antes. Según cómo accedas a los archivos de tu servidor, puedes debería tener algún tipo de funcionalidad de búsqueda. Busque elementos maliciosos nombre de archivo. Si la encuentras, primero haz una copia de seguridad y almacénala en otro por si necesitas restablecerla, y elimínala de tu sitio.

Paso 3

Busca cualquier archivo malicioso o comprometido restante. Es posible que ya hayas eliminado todos los archivos maliciosos en los dos pasos anteriores, pero es mejor siga estos pasos en caso de que haya más archivos comprometidos en su .

No te abrumes pensando que tienes que abrir y mirar cada Archivo PHP. Para comenzar, crea una lista de archivos PHP sospechosos que quieras investigar. A continuación, te mostramos algunas maneras de determinar qué archivos PHP son sospechosos:

  • Si ya volviste a cargar tus archivos del CMS, revisa solo los que no formen parte de los archivos o carpetas del CMS predeterminados. Esto debería descartar muchos archivos PHP y le dejan varios archivos para analizar.
  • Ordena los archivos de tu sitio por fecha de última modificación. Busca que se modificaron en el transcurso de unos meses a partir de la fecha en que descubrieron que tu sitio fue hackeado.
  • Ordena los archivos del sitio por tamaño. Busca archivos inusualmente grandes.

Paso 4

Una vez que tengas una lista de archivos PHP sospechosos, verifica si son maliciosos. Si no conoces PHP, es probable que este proceso lleve más tiempo, considera repasar la documentación de PHP. Si es la primera vez que codificas, cómo obtener ayuda. Mientras tanto, hay algunas patrones básicos que puedes buscar para identificar archivos maliciosos.

Si usas un CMS y no tienes el hábito de editar esos archivos directamente, comparar los archivos en tu servidor con una lista de los archivos predeterminados que se empaquetan el CMS y cualquier complemento y tema. Busca archivos que no pertenezcan al conjunto de datos que son más grandes que su versión predeterminada.

Primero, revisa los archivos sospechosos que ya identificaste para buscar grandes bloques de texto con una combinación de letras aparentemente desordenadas y y números de serie. El bloque de texto grande suele estar precedido por una combinación de PHP funciones como base64_decode, rot13, eval, strrev o gzinflate. Este es un ejemplo de cómo podría verse ese bloque de código. A veces, todo esto código se insertará en una larga línea de texto, lo que hará que parezca más pequeña de lo que en realidad.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

A veces, el código no se mezcla y se ve como una secuencia de comandos normal. Si estás no estás seguro de si el código es malo, pasa a Foros de ayuda para webmasters en la que un grupo de webmasters experimentados puede ayudarte a revisar los archivos.

Paso 5

Ahora que sabes qué archivos son sospechosos, crea una copia de seguridad o una copia local guardarlas en tu computadora, en caso de que alguno de los archivos no sea malicioso, y borrar los archivos sospechosos del sitio.

Verifica si tu sitio está limpio

Una vez que hayas terminado de deshacerte de los archivos hackeados, comprueba si tu esfuerzo valió la pena. ¿Recuerdas esas páginas sin sentido que identificaste antes? Usa la función Fetch como herramienta de Google para ver si aún existen. Si responde como “No Encontrado" en Fetch as Google, es muy probable que tu cuenta no tenga problemas y puedas y seguiremos con la solución de las vulnerabilidades de tu sitio.

¿Cómo evito que vuelvan a ser hackeados?

Corregir las vulnerabilidades en tu sitio es el último paso esencial . En un estudio reciente, se descubrió que el 20% de los sitios hackeados sufren de nuevo hackeo. un día. Es útil saber exactamente cómo hackearon tu sitio. Lee nuestro principales formas en las que los generadores de spam hackean los sitios web para comenzar tu investigación. Sin embargo, si no puedes averiguar hackearon tu sitio, esta es una lista de verificación reducir las vulnerabilidades de tu sitio:

  • Escanear la computadora periódicamente: Usa cualquier escáner de virus popular para comprobarlo. en busca de virus o vulnerabilidades.
  • Cambia las contraseñas con regularidad: Cambiar las contraseñas periódicamente a todas las cuentas de tu sitio web, como el proveedor de hosting, FTP y CMS pueden acceder evitar el acceso no autorizado a tu sitio. Es importante crear una estrategia sólida una contraseña única para cada cuenta.
  • Uso Autenticación de dos factores (2FA): Considera habilitar 2FA en cualquier servicio que requiera que accedas. 2FA Hace que sea más difícil para los hackers acceder, incluso si roban con éxito. tu contraseña.
  • Actualiza el CMS, los complementos, las extensiones y los módulos con frecuencia: Esperamos que ya hayas realizado este paso. Muchos sitios son hackeados porque o que ejecutan software desactualizado. Algunos CMS admiten la actualización automática.
  • Considera suscribirte a un servicio de seguridad para supervisar tu sitio: Existen muchos servicios excelentes que pueden ayudarte a supervisar tu por una pequeña tarifa. Considera registrarte en ellos para mantener la seguridad de tu sitio.

Recursos adicionales

Si sigues teniendo problemas para corregir tu sitio, hay algunos pasos más recursos que pueden ayudarte.

Estas herramientas analizan tu sitio y podrían encontrar contenido problemático. Además de VirusTotal, Google no los ejecuta ni les brinda asistencia.

Estas son solo algunas herramientas que podrían explorar tu sitio en busca de problemas contenido. Ten en cuenta que estos escáneres no pueden garantizar identificar cada tipo de contenido problemático.

Aquí tienes recursos adicionales de Google que pueden ayudarte: