Soluciona el hackeo de palabras clave y vínculos encubiertos

Esta guía se creó específicamente para un tipo de truco que agrega páginas con texto incoherente con muchas palabras clave en tu sitio. Nos referiremos a los trucos de palabras clave y vínculos encubiertos. Está diseñada para los usuarios de sistemas de administración de contenido (CMS) populares, pero esta guía te resultará útil incluso si no lo usas.

Queremos asegurarnos de que esta guía sea realmente útil para ti. Deja comentarios para ayudarnos a mejorar.

Identifica este tipo de hackeo

Las palabras clave encubiertas y el hackeo de vínculos crean automáticamente muchas páginas con texto, imágenes y vínculos sin sentido. A veces, estas páginas contienen elementos de plantilla básicos del sitio original. Por lo tanto, a primera vista, hasta que leas el contenido, las páginas podrían parecer partes normales de tu sitio.

Las páginas hackeadas se crean para manipular los factores de clasificación de Google. A menudo, los hackers intentan monetizar esto vendiendo los vínculos de las páginas hackeadas a diferentes terceros. Es probable que las páginas hackeadas también redireccionen a los visitantes a una página no relacionada con la que los hackers puedan ganar dinero.

Primero, consulta la herramienta Problemas de seguridad de Search Console para comprobar si Google descubrió alguna de estas páginas hackeadas en tu sitio. En ocasiones, también puedes descubrir páginas como esta si abres una ventana de la Búsqueda de Google y escribes site:_your site url_, con la URL de nivel raíz de tu sitio. De esta manera, se mostrarán las páginas que Google indexó para tu sitio, incluidas las páginas hackeadas. Revisa un par de páginas de resultados de la búsqueda para ver si detectas URLs inusuales. Si no ves contenido hackeado en la Búsqueda de Google, usa los mismos términos de búsqueda con otro motor de búsqueda. Este es un ejemplo de cómo se vería:

Resultados de la búsqueda generados por este hackeo.
Las páginas hackeadas aparecen en los resultados de la Búsqueda de Google.

Por lo general, cuando haces clic en un vínculo a una página hackeada, se te redirecciona a otro sitio o se te muestra una página llena de texto incoherente. Sin embargo, es posible que también veas un mensaje que sugiera que la página no existe (por ejemplo, un error 404). No te dejes engañar. Los hackers intentarán engañarte para que pienses que la página ya no existe o se arregló. Para ello, utilizan contenido de encubrimiento. Ingresa las URLs del sitio en la Herramienta de inspección de URLs para comprobar si es posible encubrimiento. La herramienta Explorar como Google te permite ver el contenido oculto subyacente.

Si ves estos problemas, es probable que tu sitio se haya visto afectado por este tipo de hackeo.

Página de ejemplo creada por este hackeo.
Ejemplo de una página creada por este hackeo.

Solucionar el truco

Antes de comenzar, haz una copia sin conexión de los archivos antes de quitarlos, en caso de que necesites restablecerlos más tarde. Mejor aún, crea una copia de seguridad de todo el sitio antes de comenzar el proceso de limpieza. Para ello, guarda todos los archivos que se encuentran en tu servidor en una ubicación fuera de tu servidor o busca las mejores opciones de copia de seguridad para tu sistema de administración de contenido (CMS) específico. Si usas un CMS, también crea una copia de seguridad de la base de datos.

Verifica el archivo .htaccess (3 pasos)

El hackeo de palabras clave y vínculos encubiertos usa tu archivo .htaccess para crear automáticamente páginas ocultas en tu sitio. Familiarizarte con los conceptos básicos de .htaccess en el sitio oficial de Apache puede ayudarte a comprender mejor cómo el hackeo afecta a tu sitio, pero no es obligatorio.

Paso 1

Ubica el archivo .htaccess en tu sitio. Si no sabes dónde encontrarlo y usas un CMS, como WordPress, Joomla o Drupal, busca la "ubicación del archivo htaccess" en un motor de búsqueda junto con el nombre del CMS. Según tu sitio, es posible que veas varios archivos .htaccess. Haz una lista de todas las ubicaciones de archivos de .htaccess.

Paso 2

Abre el archivo .htaccess para ver su contenido. Busca una línea de código similar a la siguiente:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

Las variables de esta línea pueden cambiar. Tanto cj2fa como tobeornottobe pueden ser cualquier combinación de letras o palabras. Lo importante es identificar el .php al que se hace referencia en esta línea.

Anota el archivo .php que se menciona en el archivo .htaccess. En el ejemplo, el archivo .php se llama injected_file.php, pero, en realidad, el nombre del archivo no será tan obvio. Por lo general, es un conjunto aleatorio de palabras inocuas, como horsekeys.php o potatolake.php. Es probable que sea un archivo .php malicioso que debamos rastrear y quitar más adelante.

Paso 3

Reemplaza todos los archivos .htaccess por una versión limpia o predeterminada del archivo .htaccess. Por lo general, para encontrar una versión predeterminada de un archivo .htaccess, busca el "archivo .htaccess predeterminado" y el nombre de tu CMS. Para los sitios con varios archivos .htaccess, busca una versión limpia de cada uno y realiza el reemplazo.

Si no existe un .htaccess predeterminado y nunca configuraste un archivo .htaccess en tu sitio, es probable que el archivo .htaccess que encuentres en él sea malicioso. Guarda una copia de los archivos .htaccess sin conexión por si acaso y desde tu sitio.

Cómo encontrar y quitar otros archivos maliciosos (5 pasos)

Identificar los archivos maliciosos puede ser complicado y requerir mucho tiempo. Tómate el tiempo necesario para revisar tus archivos. Si aún no lo has hecho, este es un buen momento para crear una copia de seguridad de los archivos de tu sitio. Busca en Google "sitio de copia de seguridad" y el nombre de tu CMS para obtener instrucciones sobre cómo hacerlo.

Paso 1

Si usas un CMS, reinstala todos los archivos principales (predeterminados) que se incluyen en la distribución predeterminada del CMS, así como todo lo que hayas agregado (como temas, módulos y complementos). Esto ayuda a garantizar que los archivos no tengan contenido hackeado. Puedes buscar "reinstalar" en Google y buscar las instrucciones para hacerlo. Si tienes complementos, módulos, extensiones o temas, asegúrate de volver a instalarlos también.

Paso 2

Para comenzar, busca el archivo .php que identificaste en el archivo .htaccess antes. Según la forma en que accedas a los archivos en tu servidor, deberías tener algún tipo de funcionalidad de búsqueda. Busca el nombre de archivo malicioso. Si la encuentras, primero haz una copia de seguridad y almacénala en otra ubicación por si necesitas restablecerla. Luego, bórrala de tu sitio.

Paso 3

Busca cualquier archivo malicioso o vulnerado que quede. Es posible que ya hayas quitado todos los archivos maliciosos en los dos pasos anteriores, pero es mejor seguir estos pasos en caso de que haya más archivos vulnerados en tu sitio.

No te abrumes por pensar que necesitas abrir y revisar todos los archivos PHP. Para comenzar, crea una lista de archivos PHP sospechosos que quieras investigar. Para determinar qué archivos PHP son sospechosos, sigue estos pasos:

  • Si ya volviste a cargar tus archivos CMS, solo debes revisar los archivos que no formen parte de las carpetas o los archivos de CMS predeterminados. Esto debería descartar muchos archivos PHP y te dejaría con algunos archivos para consultar.
  • Ordena los archivos de tu sitio por la fecha de la última modificación. Busca archivos que se hayan modificado unos meses después de la primera vez que descubriste que tu sitio fue hackeado.
  • Ordena los archivos de tu sitio por tamaño. Busca si hay archivos inusualmente grandes.

Paso 4

Cuando tengas una lista de los archivos PHP sospechosos, comprueba si son maliciosos. Si no estás familiarizado con PHP, es posible que este proceso lleve más tiempo, por lo que se recomienda revisar la documentación de PHP. Si es la primera vez que codificas, te recomendamos obtener ayuda. Mientras tanto, puedes consultar algunos patrones básicos para identificar archivos maliciosos.

Si usas un CMS y no tienes la costumbre de editar esos archivos directamente, compara los archivos de tu servidor con una lista de los archivos predeterminados empaquetados con el CMS y cualquier complemento y tema. Busca los archivos que no correspondan y los que sean más grandes que la versión predeterminada.

Primero, escanea los archivos sospechosos que ya identificaste para buscar bloques grandes de texto con una combinación de letras y números aparentemente mezclados. El bloque de texto grande suele estar precedido por una combinación de funciones de PHP como base64_decode, rot13, eval, strrev o gzinflate. Este es un ejemplo de cómo podría verse ese bloque de código. A veces, todo este código se inserta en una línea larga de texto para que parezca más pequeño de lo que es en realidad.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

A veces, el código no está mezclado y solo parece una secuencia de comandos normal. Si no sabes con certeza si el código es incorrecto, visita nuestros Foros de ayuda para webmasters, donde un grupo de webmasters experimentados puede ayudarte a revisar los archivos.

Paso 5

Ahora que sabes qué archivos son sospechosos, crea una copia de seguridad o una copia local al guardarlos en tu computadora, por si alguno de los archivos no son maliciosos, y borra los archivos sospechosos de tu sitio.

Verifica si tu sitio está limpio

Una vez que hayas terminado de deshacerte de los archivos hackeados, verifica si tu trabajo arduo valió la pena. ¿Recuerdas las páginas sin sentido que identificaste antes? Vuelve a usar la herramienta Explorar como Google en ellos para ver si aún existen. Si responden como "No encontrado" en Explorar como Google, es probable que estés en buen estado y que puedas corregir las vulnerabilidades de tu sitio.

¿Cómo evito que vuelvan a hackearlas?

Corregir las vulnerabilidades de tu sitio es un paso final esencial para hacerlo. En un estudio reciente realizado, se descubrió que el 20% de los sitios hackeados vuelven a ser hackeados en el plazo de un día. Es útil saber exactamente cómo hackearon tu sitio. Lee nuestra guía sobre las principales formas en que los generadores de spam hackean los sitios web para comenzar con tu investigación. Sin embargo, si no logras determinar cómo se hackeó tu sitio, revisa la siguiente lista de tareas para reducir las vulnerabilidades:

  • Analiza tu computadora con regularidad: Usa cualquier análisis de virus popular para detectar virus o vulnerabilidades.
  • Cambia tus contraseñas con regularidad: Si cambias las contraseñas de forma periódica de todas las cuentas de tu sitio web, como tu proveedor de hosting, FTP y CMS, puedes evitar el acceso no autorizado a tu sitio. Es importante crear una contraseña segura y única para cada cuenta.
  • Usa la autenticación de dos factores (2FA): Considera habilitar la 2FA en cualquier servicio que requiera que accedas. La 2FA dificulta el acceso de los hackers, incluso si roban tu contraseña.
  • Actualiza tu CMS, tus complementos, extensiones y módulos con frecuencia: Esperamos que ya hayas completado este paso. Muchos sitios son hackeados porque usan software desactualizado. Algunos CMS admiten la actualización automática.
  • Considera suscribirte a un servicio de seguridad para supervisar tu sitio: Existen muchos servicios excelentes que pueden ayudarte a supervisar tu sitio por una pequeña tarifa. Considera registrarte con ellos para mantener tu sitio seguro.

Recursos adicionales

Si aún tienes problemas para corregir tu sitio, hay algunos recursos más que pueden ayudarte.

Estas herramientas analizan tu sitio y podrían encontrar contenido problemático. Aparte de VirusTotal, Google no las ejecuta ni las admite.

Estas son solo algunas herramientas que pueden ayudarte a analizar tu sitio en busca de contenido problemático. Ten en cuenta que estos escáneres no pueden garantizar que identifiquen cada tipo de contenido problemático.

Estos son otros recursos de Google que pueden ayudarte: