Esta guía se creó específicamente para un tipo de hackeo que agrega a tu sitio páginas con texto incoherente con muchas palabras clave, que veremos como truco de texto incoherente. Está diseñada para usuarios de sistemas de administración de contenido (CMS) populares, pero esta guía te resultará útil incluso si no usas un CMS.
Queremos asegurarnos de que esta guía sea realmente útil para ti. Deja comentarios para ayudarnos a mejorar.
Identifica este tipo de hackeo
Esta acción incoherente crea automáticamente muchas páginas con oraciones sin sentido llenas de palabras clave en tu sitio. Estas son páginas que no creaste, pero que tienen URLs que podrían ser atractivas para que los usuarios hagan clic en ellas. Los hackers lo hacen para que las páginas hackeadas aparezcan en la Búsqueda de Google. Luego, si las personas intentan visitar esas páginas, se las redireccionará a una página no relacionada. Los hackers ganan dinero cuando las personas visitan estas páginas no relacionadas. A continuación, se muestran algunos ejemplos del tipo de archivos que puedes ver en un sitio afectado por el hackeo sin sentido:
www.example.com/cheap-hair-styles-cool.htmlwww.example.com/free-pictures-fun.htmlwww.example.com/nice-song-download-file.php
A veces, aparecen en una carpeta compuesta por caracteres aleatorios y usan diferentes idiomas:
www.example.com/jfwoea/cheap-hair-styles-cool.htmlwww.example.com/jfwoea/free-pictures-fun.htmlwww.example.com/jfwoea/www-ki-motn-dudh-photo.phpwww.example.com/jfwoea/foto-cewe-zaman-sekarang.php
Primero, consulta la herramienta Problemas de seguridad de Search Console para comprobar si Google descubrió alguna de estas páginas hackeadas en tu sitio. En ocasiones, también puedes descubrir páginas como esta si abres una ventana de la Búsqueda de Google y escribes site:_your site url_, con la URL de nivel raíz de tu sitio. De esta manera, se mostrarán las páginas que Google indexó para tu sitio, incluidas las páginas hackeadas. Revisa un par de páginas de resultados de la búsqueda para ver si detectas URLs inusuales. Si no ves contenido hackeado en la Búsqueda de Google, usa los mismos términos de búsqueda con otro motor de búsqueda. Este es un ejemplo de cómo se vería:
Por lo general, cuando haces clic en un vínculo a una página hackeada, se te redirecciona a otro sitio o se te muestra una página llena de texto incoherente. Sin embargo, es posible que también veas un mensaje que sugiera que la página no existe (por ejemplo, un error 404). No te dejes engañar. Los hackers intentarán engañarte para que pienses que la página ya no existe o se arregló. Para ello, utilizan contenido de encubrimiento. Ingresa las URLs del sitio en la Herramienta de inspección de URLs para comprobar si es posible encubrimiento. La herramienta Explorar como Google te permite ver el contenido oculto subyacente.
Si ves estos problemas, es probable que tu sitio se haya visto afectado por este tipo de hackeo.
Solucionar el truco
Antes de comenzar, haz una copia sin conexión de los archivos antes de quitarlos, en caso de que necesites restablecerlos más tarde. Mejor aún, crea una copia de seguridad de todo el sitio antes de comenzar el proceso de limpieza. Para ello, guarda todos los archivos que se encuentran en tu servidor en una ubicación fuera de tu servidor o busca las mejores opciones de copia de seguridad para tu sistema de administración de contenido (CMS) específico. Si usas un CMS, también crea una copia de seguridad de la base de datos.
Verifica el archivo .htaccess (2 pasos)
El truco de texto incoherente redirecciona a los visitantes desde tu sitio mediante el archivo .htaccess.
Paso 1
Ubica el archivo .htaccess en tu sitio. Si no sabes dónde encontrarlo
y usas un CMS, como WordPress, Joomla o Drupal, busca la
"ubicación del archivo htaccess" en un motor de búsqueda junto con el nombre del CMS.
Según tu sitio, es posible que veas varios archivos .htaccess.
Haz una lista de todas las ubicaciones de archivos de .htaccess.
Paso 2
Reemplaza todos los archivos .htaccess por una versión limpia o predeterminada del archivo .htaccess. Por lo general, para encontrar una versión predeterminada de un archivo .htaccess, busca el "archivo .htaccess predeterminado" y el nombre de tu CMS. Para los sitios con varios archivos .htaccess, busca una versión limpia de cada uno y reemplázalos.
Si no existe un .htaccess predeterminado y nunca configuraste un archivo .htaccess en tu sitio, es probable que el archivo .htaccess que encuentres en él sea malicioso.
Guarda una copia de los archivos .htaccess sin conexión por si acaso y borra el archivo .htaccess de tu sitio.
Cómo encontrar y quitar otros archivos maliciosos (5 pasos)
Identificar los archivos maliciosos puede ser complicado y requerir mucho tiempo. Tómate el tiempo necesario para revisar tus archivos. Si aún no lo has hecho, este es un buen momento para crear una copia de seguridad de los archivos de tu sitio. Busca en Google "sitio de copia de seguridad" y el nombre de tu CMS para obtener instrucciones sobre cómo hacerlo.
Paso 1
Si usas un CMS, reinstala todos los archivos principales (predeterminados) que se incluyen en la distribución predeterminada del CMS, así como todo lo que hayas agregado (como temas, módulos y complementos). Esto ayuda a garantizar que los archivos no tengan contenido hackeado. Puedes buscar "reinstalar" en Google y buscar las instrucciones para hacerlo. Si tienes complementos, módulos, extensiones o temas, asegúrate de volver a instalarlos también.
Paso 2
Ahora debes buscar si quedan archivos maliciosos o comprometidos. Esta es la parte más difícil y requiere mucho tiempo del proceso, pero casi terminas.
Por lo general, este hackeo deja dos tipos de archivos: .txt y .php. Los archivos .txt se entregan como archivos de plantilla y los .php determinan qué tipo de contenido sin sentido cargar en tu sitio.
Para comenzar, busca los archivos .txt. Según cómo te conectes a tu sitio, deberías ver algún tipo de función de búsqueda de archivos. Busca ".txt" para obtener todos los archivos con una extensión .txt. La mayoría de ellos serán archivos legítimos, como contratos de licencia o archivos readme. Buscas un conjunto de archivos .txt que contengan código HTML utilizado para crear plantillas generadoras de spam. Los siguientes son fragmentos de código diferentes que puedes encontrar en estos archivos .txt maliciosos.
<title>{keyword}</title>
<meta name="description" content="{keyword}" />
<meta name="keywords" content="{keyword}" />
<meta property="og:title" content="{keyword}" />
Los hackers utilizan el reemplazo de palabras clave para crear las páginas generadoras de spam. Lo más probable es que veas una palabra genérica que se puede reemplazar en el archivo hackeado.
Además, la mayoría de estos archivos contienen algún tipo de código que posiciona vínculos y texto generadores de spam fuera de la página visible.
<div style="position: absolute; top: -1000px; left: -1000px;">
Cheap prescription drugs
</div>
Quitar estos .txt archivos. Si están todos en la misma carpeta, quita la carpeta completa.
Paso 3
Los archivos PHP maliciosos son un poco más difíciles de rastrear. Podría haber uno o muchos archivos PHP maliciosos en tu sitio. Podrían estar todos en el mismo subdirectorio o repartidos por tu sitio.
No te abrumes si piensas que tienes que abrir y revisar cada archivo PHP. Para comenzar, crea una lista de archivos PHP sospechosos que quieras investigar. Para determinar qué archivos PHP son sospechosos, sigue estos pasos:
- Como ya volviste a cargar tus archivos CMS, solo debes revisar los archivos que no sean parte de tus archivos o carpetas de CMS predeterminados. Esto debería eliminar una gran cantidad de archivos PHP y dejarte con algunos archivos para consultar.
- Ordena los archivos del sitio por fecha de la última modificación. Busca archivos que se hayan modificado unos meses después de la primera vez que descubriste que tu sitio fue hackeado.
- Ordena los archivos de tu sitio por tamaño. Busca si hay archivos inusualmente grandes.
Paso 4
Cuando tengas una lista de los archivos PHP sospechosos, comprueba si son maliciosos. Si no estás familiarizado con PHP, es posible que este proceso lleve más tiempo, por lo que se recomienda revisar la documentación de PHP. Si es la primera vez que codificas, te recomendamos obtener ayuda. Mientras tanto, puedes consultar algunos patrones básicos para identificar archivos maliciosos.
Si usas un CMS y no tienes la costumbre de editar esos archivos directamente, compara los archivos de tu servidor con una lista de los archivos predeterminados empaquetados con el CMS y cualquier complemento y tema. Busca los archivos que no correspondan y los que sean más grandes que la versión predeterminada.
Primero, escanea los archivos sospechosos que ya identificaste para buscar bloques grandes de texto con una combinación de letras y números aparentemente mezclados. El bloque de texto grande suele estar precedido por una combinación de funciones de PHP como base64_decode, rot13, eval, strrev o gzinflate.
Este es un ejemplo de cómo podría verse ese bloque de código. A veces, todo este código se inserta en una línea larga de texto para que parezca más pequeño de lo que es en realidad.
// Hackers try to confuse site owners by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.
base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));
A veces, el código no está mezclado y solo parece una secuencia de comandos normal. Si no sabes con certeza si el código es incorrecto, visita nuestra Comunidad de ayuda de la Central de la Búsqueda de Google, en la que un grupo de webmasters experimentados puede ayudarte a revisar los archivos.
Paso 5
Ahora que sabes qué archivos son sospechosos, crea una copia de seguridad o una copia local al guardarlos en tu computadora, por si alguno de los archivos no son maliciosos, y borra los archivos sospechosos de tu sitio.
Verifica si tu sitio está limpio
Una vez que hayas terminado de deshacerte de los archivos hackeados, verifica si tu trabajo arduo valió la pena. ¿Recuerdas las páginas sin sentido que identificaste antes? Vuelve a usar la herramienta Explorar como Google en ellos para ver si aún existen. Si responden como "No encontrado" en Explorar como Google, es probable que estés en buen estado y que puedas corregir las vulnerabilidades de tu sitio.
¿Cómo evito que vuelvan a hackearlas?
Corregir las vulnerabilidades de tu sitio es un paso final esencial para hacerlo. En un estudio reciente realizado, se descubrió que el 20% de los sitios hackeados vuelven a ser hackeados en el plazo de un día. Es útil saber exactamente cómo hackearon tu sitio. Lee nuestra guía sobre las principales formas en que los generadores de spam hackean los sitios web para comenzar con tu investigación. Sin embargo, si no logras determinar cómo se hackeó tu sitio, revisa la siguiente lista de tareas para reducir las vulnerabilidades:
- Analiza tu computadora con regularidad: Usa cualquier análisis de virus popular para detectar virus o vulnerabilidades.
- Cambia tus contraseñas con regularidad: Si cambias las contraseñas de forma periódica de todas las cuentas de tu sitio web, como tu proveedor de hosting, FTP y CMS, puedes evitar el acceso no autorizado a tu sitio. Es importante crear una contraseña segura y única para cada cuenta.
- Usa la autenticación de dos factores (2FA): Considera habilitar la 2FA en cualquier servicio que requiera que accedas. La 2FA dificulta el acceso de los hackers, incluso si roban tu contraseña.
- Actualiza tu CMS, tus complementos, extensiones y módulos con frecuencia: Esperamos que ya hayas completado este paso. Muchos sitios son hackeados porque usan software desactualizado. Algunos CMS admiten la actualización automática.
- Considera suscribirte a un servicio de seguridad para supervisar tu sitio: Existen muchos servicios excelentes que pueden ayudarte a supervisar tu sitio por una pequeña tarifa. Considera registrarte con ellos para mantener tu sitio seguro.
Recursos adicionales
Si aún tienes problemas para corregir tu sitio, hay algunos recursos más que pueden ayudarte.
Estas herramientas analizan tu sitio y podrían encontrar contenido problemático. Aparte de VirusTotal, Google no las ejecuta ni las admite.
Estas son solo algunas herramientas que pueden ayudarte a analizar tu sitio en busca de contenido problemático. Ten en cuenta que estos escáneres no pueden garantizar que identifiquen cada tipo de contenido problemático.
Estos son otros recursos de Google que pueden ayudarte: