Esta guía trata sobre un tipo de hackeo que crea texto en japonés generado automáticamente en tu sitio, al que denominamos hackeo de palabras clave en japonés. Está diseñada para los usuarios de los sistemas de administración de contenido (CMS) populares, pero también te resultará útil si tu sitio no usa un CMS.
Cómo identificar este tipo de hackeo
El hackeo de palabras clave en japonés generalmente crea en tu sitio páginas nuevas con texto en japonés generado automáticamente, en nombres de directorio generados aleatoriamente (por ejemplo, http://example.com/ltjmnjp/341.html). Estas páginas se monetizan con vínculos de afiliados a tiendas que venden artículos de marca falsos y, luego, se muestran en la Búsqueda de Google. Este es un ejemplo de cómo se ve una de estas páginas:
Con este tipo de hackeo, el hacker suele agregarse como propietario de la propiedad en Search Console para aumentar las ganancias manipulando la configuración de tu sitio, como la segmentación geográfica o los mapas del sitio. Si recibiste una notificación de que alguien que no conoces verificó tu sitio en Google Search Console, es muy probable que lo hayan hackeado.
Para comenzar, revisa la herramienta Problemas de seguridad en Search Console para ver si Google descubrió alguna de estas páginas hackeadas en tu sitio. A veces, también puedes descubrir páginas como esta abriendo una ventana de la Búsqueda de Google y escribiendo site:_your site url_, con la URL de nivel raíz de tu sitio. De esta manera, se mostrarán las páginas que Google indexó para tu sitio, incluidas las páginas hackeadas. Revisa algunas páginas de los resultados de la búsqueda para ver si encuentras URLs inusuales. Si no ves contenido hackeado en la Búsqueda de Google, usa los mismos términos de búsqueda en otro motor de búsqueda. Este es un ejemplo de cómo se vería:
Por lo general, cuando haces clic en un vínculo a una página hackeada, se te redirige a otro sitio o ves una página llena de contenido sin sentido. Sin embargo, también es posible que veas un mensaje que sugiere que la página no existe (por ejemplo, un error 404). No te dejes engañar. Los hackers intentarán hacerte creer que la página desapareció o se corrigió cuando aún está hackeada. Para ello, encubren el contenido. Para verificar si hay encubrimiento, ingresa las URLs de tu sitio en la Herramienta de inspección de URLs. Esta herramienta te permite ver el contenido oculto subyacente.
Si ves estos problemas, es muy probable que tu sitio se haya visto afectado por este tipo de hackeo.
Cómo corregir el hackeo
Antes de comenzar, haz una copia sin conexión de todos los archivos antes de quitarlos, en caso de que necesites restablecerlos más adelante. Mejor aún, haz una copia de seguridad de todo tu sitio antes de comenzar el proceso de limpieza. Para ello, guarda todos los archivos que se encuentran en tu servidor en una ubicación fuera de él o busca las mejores opciones de copia de seguridad para tu sistema de administración de contenido (CMS) en particular. Si usas un CMS, también haz una copia de seguridad de la base de datos.
Cómo quitar cuentas recién creadas de Search Console
Si se agregó a tu cuenta de Search Console un propietario nuevo que no reconoces, revoca su acceso lo antes posible. Puedes consultar qué usuarios están verificados para tu sitio en la página de verificación de Search Console. Haz clic en "Detalles de la verificación" del sitio para ver todos los usuarios verificados.
Para quitar un propietario de Search Console, consulta la sección Quitar propietario del Centro de ayuda para administrar usuarios, propietarios y permisos.
Deberás quitar el token de verificación asociado, que suele ser un archivo HTML en la raíz de tu sitio o un archivo .htaccess generado de forma dinámica que imita un archivo HTML.
Si no encuentras un token de verificación HTML en tu sitio, busca una regla de reescritura en tu archivo .htaccess. La regla de reescritura se verá similar a la siguiente:
RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]
Para quitar el token de verificación generado de forma dinámica de tu archivo .htaccess, sigue estos pasos:
Verifica tu archivo .htaccess (2 pasos)
Además de usar un archivo .htaccess para crear tokens de verificación generados de forma dinámica, los hackers suelen usar reglas .htaccess para redireccionar a los usuarios o crear páginas spam sin sentido. A menos que tengas reglas .htaccess personalizadas, considera reemplazar tu archivo .htaccess por una copia completamente nueva.
Paso 1
Ubica tu archivo .htaccess en tu sitio. Si no sabes dónde encontrarlo y usas un CMS como WordPress, Joomla o Drupal, busca "ubicación del archivo .htaccess" en un motor de búsqueda junto con el nombre de tu CMS. Según tu sitio, es posible que veas varios archivos .htaccess. Haz una lista de todas las ubicaciones de los archivos .htaccess.
Paso 2
Reemplaza todos los archivos .htaccess por una versión limpia o predeterminada del archivo .htaccess. Por lo general, puedes encontrar una versión predeterminada de un archivo .htaccess buscando "archivo .htaccess predeterminado" y el nombre de tu CMS. En el caso de los sitios con varios archivos .htaccess, busca una versión limpia de cada uno y reemplázalos.
Si no existe un archivo .htaccess predeterminado y nunca configuraste un archivo .htaccess en tu sitio, es probable que el archivo .htaccess que encuentres en tu sitio sea malicioso. Guarda una copia de los archivos .htaccess sin conexión por si acaso y borra el archivo .htaccess de tu sitio.
Cómo quitar todos los archivos y las secuencias de comandos maliciosos (4 pasos)
Identificar archivos maliciosos puede ser difícil y llevar mucho tiempo. Tómate tu tiempo para revisar tus archivos. Si aún no lo hiciste, este es un buen momento para crear una copia de seguridad de los archivos de tu sitio. Realiza una Búsqueda de Google con las palabras "copia de seguridad del sitio" y el nombre de tu CMS para encontrar instrucciones sobre cómo crear una copia de seguridad de tu sitio.
Paso 1
Si utilizas un CMS, vuelve a instalar todos los archivos principales (predeterminados) que se incluyen en la distribución predeterminada de tu CMS, así como todo lo que hayas agregado (como temas, módulos o complementos). Esto ayuda a garantizar que estos archivos no contengan contenido hackeado. Puedes realizar una Búsqueda de Google con "reinstalar" y el nombre de tu CMS para encontrar instrucciones de reinstalación. Si tienes complementos, módulos, extensiones o temas, asegúrate de reinstalarlos también.
Paso 2
Los hackers suelen modificar tu mapa del sitio o agregar mapas del sitio nuevos para que sus URLs se indexen más rápido. Si antes tenías un archivo de mapa del sitio, revísalo para detectar vínculos sospechosos y quítalos. Si hay archivos del mapa del sitio que no recuerdas haber agregado a tu sitio, revísalos. Quita el archivo si solo contiene URLs de spam.
Paso 3
Busca otros archivos maliciosos o en riesgo. Es posible que ya hayas quitado todos los archivos maliciosos en los dos pasos anteriores, pero es mejor que sigas estos pasos por si hay más archivos en tu sitio que se hayan vulnerado.
No te agobies pensando que debes abrir y revisar todos los archivos PHP. Comienza por crear una lista de los archivos PHP sospechosos que quieras investigar. Estas son algunas formas de determinar qué archivos PHP son sospechosos:
- Si ya volviste a cargar los archivos de tu CMS, busca solo los archivos que no formen parte de los archivos o las carpetas predeterminados de tu CMS. Esto debería descartar muchos archivos PHP y dejarte con unos pocos archivos para revisar.
- Ordena los archivos de tu sitio según la fecha en que se modificaron por última vez. Busca los archivos que se modificaron en los meses posteriores al momento en que descubriste que se había hackeado tu sitio.
- Ordena los archivos de tu sitio por tamaño. Busca archivos inusualmente grandes.
Paso 4
Una vez que tengas una lista de archivos PHP sospechosos, revísalos para detectar contenido malicioso. Si no conoces PHP, este proceso puede llevar más tiempo, por lo que te recomendamos que repases algo de la documentación de PHP. Si no tienes experiencia en programación, te recomendamos que hables con un desarrollador experimentado. Mientras tanto, existen algunos patrones básicos que puedes buscar para identificar archivos maliciosos.
Si usas un CMS y no sueles editar sus archivos PHP directamente, compara los archivos de tu servidor con una lista de los archivos predeterminados incluidos en el CMS y en los complementos y temas. Busca archivos que no pertenezcan a la carpeta, así como archivos que sean más grandes que su versión predeterminada.
Revisa los archivos sospechosos que ya identificaste para buscar bloques de código ofuscado. Esto puede parecer una combinación de letras y números aparentemente desordenados, que suelen estar precedidos por una combinación de funciones de PHP, como base64_decode, rot13, eval, strrev o gzinflate. Este es un ejemplo de cómo podría verse el bloque de código. A veces, todo este código se incluirá en una sola línea de texto larga, lo que hará que parezca más pequeño de lo que es en realidad.
$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}
Verifica si tu sitio está limpio
Una vez que termines de deshacerte de los archivos hackeados, verifica si tu arduo trabajo dio sus frutos. ¿Recuerdas esas páginas de texto incoherente que identificaste antes? Vuelve a usar la herramienta Explorar como Google en ellas para ver si aún existen.
Si responden como "No encontrado" en Explorar como Google, es probable que estés en buena forma y puedas continuar corrigiendo las vulnerabilidades de tu sitio.
¿Cómo evito que me vuelvan a hackear?
Corregir las vulnerabilidades de tu sitio es un paso final esencial para solucionarlo. Un estudio reciente reveló que el 20% de los sitios hackeados vuelven a ser hackeados en el plazo de un día. Es útil saber exactamente cómo hackearon tu sitio. Lee nuestra guía sobre los principales métodos que usan los generadores de spam para hackear sitios web y comienza tu investigación. Si no puedes determinar cómo hackearon tu sitio, sigue esta lista de verificación para reducir las vulnerabilidades.
- Analiza tu computadora con regularidad: Usa un software antivirus popular para detectar virus o vulnerabilidades.
- Cambia tus contraseñas con regularidad: Cambiar con regularidad las contraseñas de todas las cuentas de tu sitio web, como las de tu proveedor de hosting, FTP y CMS, puede evitar el acceso no autorizado a tu sitio. Es importante crear una contraseña segura y única para cada cuenta.
- Usa la autenticación en 2 pasos (2FA): Considera habilitar la 2FA en cualquier servicio en el que debas acceder. Esto dificulta que los hackers accedan, incluso si logran robar tu contraseña.
- Actualiza tu CMS, complementos, extensiones y módulos con regularidad: Esperamos que ya hayas realizado este paso. Muchos sitios se hackean porque ejecutan software desactualizado. Algunos CMS admiten la actualización automática.
- Considera suscribirte a un servicio de seguridad para supervisar tu sitio: Existen muchos servicios disponibles que pueden ayudarte a supervisar tu sitio por una pequeña tarifa. Considera registrarte en ellas para mantener tu sitio seguro.
Recursos adicionales
Si aún tienes problemas para corregir tu sitio, hay algunos recursos más que podrían ayudarte.
Estas herramientas analizan tu sitio y pueden encontrar contenido problemático. A excepción de VirusTotal, Google no ejecuta ni admite estas herramientas.
Estas son solo algunas herramientas que pueden analizar tu sitio en busca de contenido problemático. Ten en cuenta que estos verificadores no pueden garantizar que identificarán todos los tipos de contenido problemático.
Estos son algunos recursos adicionales de Google que pueden ayudarte: