Esta guía se creó específicamente para un tipo de hackeo que crea texto en japonés generado automáticamente en tu sitio, al que nos referiremos como hackeo de palabras clave en japonés. Está diseñada para usuarios de sistemas de administración de contenido (CMS) populares, pero esta guía te resultará útil incluso si no usas un CMS.
Queremos asegurarnos de que esta guía te resulte realmente útil. Envía comentarios para ayudarnos a mejorar.
Identifica este tipo de hackeo
El hackeo de palabras clave en japonés generalmente crea en tu sitio páginas nuevas con texto en japonés generado automáticamente en nombres de directorio generados aleatoriamente (por ejemplo, http://example.com/ltjmnjp/341.html). Estas páginas se monetizan mediante vínculos de afiliados a tiendas que venden artículos de marca falsos y que luego muestran en la Búsqueda de Google. Este es un ejemplo de cómo se ve una de estas páginas:
Con este tipo de hackeo, el hacker suele agregarse como propietario de la propiedad en Search Console para aumentar las ganancias manipulando la configuración de tu sitio, como la segmentación geográfica o los mapas de sitios. Si recibiste una notificación de que alguien que no conoces verificó tu sitio en Search Console, es muy probable que se haya hackeado.
Comienza por verificar la herramienta Problemas de seguridad en Search Console para ver si Google descubrió alguna de estas páginas hackeadas en tu sitio. A veces, también puedes encontrar páginas como esta si abres una ventana de la Búsqueda de Google y escribes site:_your site url_, con la URL de nivel raíz de tu sitio. Se mostrarán las páginas que Google indexó para tu sitio, incluidas las páginas hackeadas. Navega por un par de páginas de resultados de la búsqueda para ver si ves alguna URL inusual. Si no ves contenido hackeado en la Búsqueda de Google, usa los mismos términos de búsqueda con un motor de búsqueda diferente. Este es un ejemplo de cómo se vería:
Por lo general, cuando haces clic en un vínculo a una página hackeada, se te redirecciona a otro sitio o ves una página llena de contenido ilegible. Sin embargo, también es posible que veas un mensaje que sugiera que la página no existe (por ejemplo, un error 404). No te dejes engañar. Los hackers intentarán engañarte para que creas que la página desapareció o se corrigió cuando aún está hackeada. Para ello, ocultan el contenido. Para verificar si hay encubrimiento, ingresa las URLs de tu sitio en la Herramienta de inspección de URLs. La herramienta Explorar como Google te permite ver el contenido oculto subyacente.
Si ves estos problemas, es probable que tu sitio se haya visto afectado por este tipo de hackeo.
Cómo corregir el hack
Antes de comenzar, crea una copia sin conexión de los archivos antes de quitarlos, en caso de que necesites restablecerlos más adelante. Mejor aún, crea una copia de seguridad de todo el sitio antes de comenzar el proceso de limpieza. Para ello, guarda todos los archivos que se encuentran en tu servidor en una ubicación fuera de él o busca las mejores opciones de copia de seguridad para tu sistema de administración de contenido (CMS) en particular. Si usas un CMS, también crea una copia de seguridad de la base de datos.
Cómo quitar cuentas recién creadas de Search Console
Si se agregó un propietario nuevo que no reconoces a tu cuenta de Search Console, revoca su acceso lo antes posible. Puedes verificar qué usuarios están verificados para tu sitio en la página de verificación de Search Console. Haz clic en "Detalles de verificación" del sitio para ver a todos los usuarios verificados.
Para quitar un propietario de Search Console, consulta la sección Quitar propietario del Centro de ayuda Cómo administrar usuarios, propietarios y permisos.
Deberás quitar el token de verificación asociado, que suele ser un archivo HTML en la raíz de tu sitio o un archivo .htaccess generado de forma dinámica que imita un archivo HTML.
Si no encuentras un token de verificación HTML en tu sitio, busca una regla de reescritura en el archivo .htaccess. La regla de reescritura se verá de la siguiente manera:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Para quitar el token de verificación generado de forma dinámica de tu archivo .htaccess, sigue estos pasos:
Verifica tu archivo .htaccess (2 pasos)
Además de usar un archivo .htaccess para crear tokens de verificación generados de forma dinámica, los hackers suelen usar reglas .htaccess para redireccionar a los usuarios o crear páginas de spam incoherentes. A menos que tengas reglas .htaccess personalizadas, considera reemplazar tu .htaccess por una copia completamente nueva.
Paso 1
Busca el archivo .htaccess en tu sitio. Si no sabes dónde encontrarlo y usas un CMS como WordPress, Joomla o Drupal, busca "ubicación del archivo .htaccess" en un motor de búsqueda junto con el nombre de tu CMS.
Según tu sitio, es posible que veas varios archivos .htaccess.
Haz una lista de todas las ubicaciones de los archivos .htaccess.
Paso 2
Reemplaza todos los archivos .htaccess por una versión limpia o predeterminada del archivo .htaccess. Por lo general, puedes encontrar una versión predeterminada de un archivo .htaccess si buscas "archivo .htaccess predeterminado" y el nombre de tu CMS. En el caso de los sitios con varios archivos .htaccess, busca una versión limpia de cada uno y reemplázalos.
Si no existe un .htaccess predeterminado y nunca configuraste un archivo .htaccess en tu sitio, es probable que el archivo .htaccess que encuentres en tu sitio sea malicioso. Guarda una copia de los archivos .htaccess sin conexión por si acaso y borra el archivo .htaccess de tu sitio.
Cómo quitar todos los archivos y las secuencias de comandos maliciosos (4 pasos)
Identificar archivos maliciosos puede ser complicado y llevar mucho tiempo. Tómate tu tiempo cuando revises los archivos. Si aún no lo hiciste, este es un buen momento para crear una copia de seguridad de los archivos de tu sitio. Realiza una búsqueda en Google de "crear una copia de seguridad del sitio" y el nombre de tu CMS para encontrar instrucciones sobre cómo hacerlo.
Paso 1
Si usas un CMS, reinstala todos los archivos principales (predeterminados) que vienen en la distribución predeterminada de tu CMS, así como todo lo que hayas agregado (como temas, módulos o complementos). Esto ayuda a garantizar que estos archivos no contengan contenido hackeado. Puedes buscar "reinstalar" y el nombre de tu CMS en Google para encontrar instrucciones de reinstalación. Si tienes complementos, módulos, extensiones o temas, asegúrate de volver a instalarlos.
Paso 2
A menudo, los hackers modifican tu mapa del sitio o agregan uno nuevo para ayudar a que sus URLs se indexen más rápido. Si antes tenías un archivo de mapa del sitio, verifica si hay vínculos sospechosos y quítalos. Si hay archivos de mapa del sitio que no recuerdas haber agregado a tu sitio, vuelve a verificarlos y quítalos si solo contienen URLs de spam.
Paso 3
Busca otros archivos maliciosos o comprometidos. Es posible que ya hayas quitado todos los archivos maliciosos en los dos pasos anteriores, pero es mejor seguir estos próximos pasos en caso de que haya más archivos en tu sitio que se hayan vulnerado.
No te abrumes pensando que debes abrir y revisar cada archivo PHP. Comienza por crear una lista de archivos PHP sospechosos que quieras investigar. Estas son algunas formas de determinar qué archivos PHP son sospechosos:
- Si ya volviste a cargar los archivos del CMS, solo observa los archivos que no forman parte de los archivos o carpetas predeterminados del CMS. Esto debería descartar muchos archivos PHP y dejarte con algunos archivos para revisar.
- Ordena los archivos de tu sitio por la fecha en que se modificaron por última vez. Busca archivos que se hayan modificado dentro de unos meses desde la primera vez que descubriste que tu sitio fue hackeado.
- Ordena los archivos de tu sitio por tamaño. Busca archivos inusualmente grandes.
Paso 4
Una vez que tengas una lista de archivos PHP sospechosos, comprueba si contienen contenido malicioso. Si no conoces PHP, este proceso podría llevar más tiempo, así que te recomendamos que revises la documentación de PHP. Si es la primera vez que codificas, te recomendamos que busques ayuda. Mientras tanto, hay algunos patrones básicos que puedes buscar para identificar archivos maliciosos.
Si usas un CMS y no tienes el hábito de editar sus archivos PHP directamente, compara los archivos de tu servidor con una lista de los archivos predeterminados empaquetados con el CMS y cualquier complemento y tema. Busca archivos que no pertenezcan, así como archivos que sean más grandes que su versión predeterminada.
Explora los archivos sospechosos que ya identificaste para buscar bloques de código ofuscado. Puede parecer una combinación de letras y números desordenados, por lo general, precedidos por una combinación de funciones de PHP, como base64_decode, rot13, eval, strrev o gzinflate. Este es un ejemplo de cómo podría verse el bloque de código. A veces, todo este código se agrupa en una línea larga de texto, lo que hace que se vea más pequeño de lo que realmente es.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Verifica si tu sitio está limpio
Una vez que hayas terminado de quitar los archivos hackeados, verifica si tu arduo trabajo fue recompensado. ¿Recuerdas esas páginas ilegibles que identificaste antes? Vuelve a usar la herramienta Explorar como Google para ver si aún existen. Si la respuesta es "No se encontró" en Recuperar como Google, es probable que estés en una buena posición y puedas continuar con la corrección de las vulnerabilidades de tu sitio.
¿Cómo puedo evitar que me vuelvan a hackear?
Corregir las vulnerabilidades de tu sitio es un paso final esencial para solucionar el problema. Un estudio reciente reveló que el 20% de los sitios hackeados vuelven a serlo en un día. Es útil saber exactamente cómo se hackeó tu sitio. Lee nuestra guía sobre los principales métodos que usan los generadores de spam para hackear sitios web para comenzar tu investigación. Sin embargo, si no puedes averiguar cómo se hackeó tu sitio, la siguiente es una lista de tareas que puedes realizar para reducir las vulnerabilidades en tu sitio.
- Realiza análisis de forma periódica: Usa cualquier escáner de virus popular para detectar vulnerabilidades o virus.
- Cambia las contraseñas con frecuencia: Cambiar periódicamente las contraseñas de todas las cuentas de tu sitio web, como el proveedor de hosting, el FTP y el CMS, puede evitar el acceso no autorizado a tu sitio. Es importante crear una contraseña segura y única para cada cuenta.
- Usa la autenticación de dos factores (2FA): Considera habilitar la 2FA en cualquier servicio que requiera que accedas. La 2FA dificulta que los hackers accedan, incluso si roban tu contraseña.
- Actualiza el CMS, los complementos, las extensiones y los módulos con regularidad: Esperamos que ya hayas realizado este paso. Muchos sitios se hackean porque ejecutan software desactualizado. Algunos CMS admiten la actualización automática.
- Considera suscribirte a un servicio de seguridad para supervisar tu sitio: Existen muchos servicios excelentes que pueden ayudarte a supervisar tu sitio por una pequeña tarifa. Considera registrarte con ellos para mantener tu sitio seguro.
Recursos adicionales
Si aún tienes problemas para corregir tu sitio, hay algunos recursos más que podrían ayudarte.
Estas herramientas analizan tu sitio y pueden encontrar contenido problemático. Aparte de VirusTotal, Google no los ejecuta ni los admite.
Estas son solo algunas herramientas que pueden analizar tu sitio en busca de contenido problemático. Ten en cuenta que estos escáneres no pueden garantizar que identificarán todos los tipos de contenido problemático.
Estos son algunos recursos adicionales de Google que pueden ayudarte: