Detectar el hacking de un sitio web en WordPress usando Sistrix

Llevo ya unos pocos meses trabajando de manera habitual con Sistrix (aunque la conocía hace ya un par de años), una herramienta de análisis de tráfico y visibilidad en buscadores que, junto con herramientas que ya utilizaba como SEMRush, Ahrefs, Link Research Tools, Screaming Frog, Majestic SEO o Deep Crawl ,entre otras (Xenu, Sescout, Rank Tracker, etc etc etc), ya se ha incorporado al set habitual de herramientas que utilizo en los proyectos que requieren trabajo SEO. No se trata de usar todas las herramientas en cada proyecto, sino de seleccionar aquellas más adecuadas en función de tipología de proyecto y objetivos.

Realizando un checklist estandar de evolución de ranking de palabras clave con Sistrix descubrí, de manera casual, que el sitio web que estaba analizando, desarrollado en WordPress, había sido hackeado

Entre las funciones de Sistrix no está la detección de hacking, entonces, ¿como localicé este problema? Muy sencillo, gracias a un recurso que incorpora Sistrix en sus análisis de ranking: una alerta visual. Se que parece una chorrada, pero Sistrix incluye alertas visuales en los cambios de ranking. Cuando hay una evolución positiva un indicador verde te indica el aumento de ranking en esa keyword y cuando hay una evolución negativa se utiliza un indicador rojo… y cuando hay una nueva keyword en ranking está se destaca en verde, enmarcada con la palabra “NUEVO”… y así encontré la primera pista del hacking, como podeis ver en esta imagen:

Imagen del ranking de palabras clave de Sistrix

Como puede apreciarse en la imagen, en la keyword con ranking nuevo, éste aparece remarcado como “NUEVO”

Así que de chorrada nada. Esta sencilla pero muy eficaz alerta visual me puso en la primera pista para localizar el hacking, ¿cómo? Muy sencillo, tenía una keyword nueva por la que rankeaba este proyecto, “poker ficticio”, pero este proyecto NO ES DE POKER, sino de un sector más bien alejado no, alejadiiiiiisimo del juego, por lo tanto, notable mosqueo (además de que ya había vivido este tipo de situaciones antes). Si un proyecto en el que estás trabajando a nivel de ranking y posicionamiento empieza a ganar visibilidad por palabras clave que tú no has trabajado o que para nada corresponden a la actividad del sitio web, desde luego ahí pasa algo raro y, por tanto, hay que echar un buen vistazo.

Un simple pero muy eficaz elemento de diseño, como esa pequeña alerta visual incuida en Sistrix, permitió detectar que algo raro, muy raro, estaba pasando en ese sitio web.

¿Siguiente paso? Localizar si se han indexado muchas URLs de ese tipo, así que nos vamos a Google, donde hacemos un site:dominio.com acompañado de la palabra que sabemos se ha infiltrado y que es spam, en este caso “poker”y, para mi sorpresa, nos encontramos con esto:

Imagen de indexación de un sitio web

Como puede verse, Google había indexado un buen número de landing pages dentro del dominio con la palabra “poker”… pero es que este sitio web no era de poker, ni de ningún juego.

Es decir, tenemos la friolera de 66 URLs dentro de nuestro dominio que contienen la palabra “poker”, pero es que este sitio web no es de poker ni de ningún otro juego. Al hacer la misma operación con palabras como “black jack”, “slots” o “casino” nos encontramos con muchas más URLs. En total, más de 800 URLs de puro spam dentro del dominio.

Cada una de esas URL alojaba una landing page similar a esta… ahí es nada hermanos:

Imagen de una landing de poker

800 de estas landings en el dominio… fantástico y maravilloso, oigan

Siguiente paso, ¿cómo han aparecido esas landings de juego ahí? A partir de aquí, entramos en el WordPress del sitio web en cuestión, en el que paulatinamente vamos desactivando cada plugin instalado. Tras la desactivación de cada plugin, se hace una recarga de una de esas landings que tenemos abierta en otra pestaña y así, hasta que encontramos el plugin que ha dejado la puerta abierta para el hacking, que se identifica porque su desactivaciín implica que lar ecarga de la landing da un error 404. Finalmente, identificamos al “responsable” de la vulnerabilidad, que ha sido este plugin de WordPress para compartir en redes sociales.

Una vez identificado el plugin, se analiza el mismo para descubrir donde está el hack, pero esto es para otro post, de la mano de Miguel Monreal, que es el que sabe de estas cosas, que a servidor no le llega para tanto. Digamos que en el plugin en cuestión hay una imagen que contiene código malicioso que permite la generación masiva de landings dentro de tu dominio y además modifica tus contenidos y tus metaetiquetas para que tu sitio web se posicione por términos que interesan a los causantes del hack.

Una vez identificado todo esto, lo que nos queda es limpiar esas URLs para evitar que continuen indexadas en Google y el buscador pueda identificarnos como un sitio web spam.

Como podeis imaginaros, de no haber detectado esto, las consecuencias podrían haber sido muy serias: penalización de Google al canto, sitio web considerado como spam… y estamos hablando de un sitio de negocio que capta leads comerciales. Hubiera sido un desastre importante. Afortunadamente, el hacking se detectó a tiempo y pudo corregirse… y todo gracias a una pequeña alerta visual de color verde. Eso se llama diseño util.

Be Sociable, Share!

Tags: , , , , ,

  1. Pasapues’s avatar

    Las herramientas hay que conocerlas y saber utilizarlas.

  2. Santi’s avatar

    hola Ricardo, me gustó el post gracias por escribirlo. A un cliente mío le ha pasado algo parecido, en una de sus web sufrió un ataque y la hackearon. La página está hecha en joomla. El caso es que lo detectamos tarde porque fué cuando nos dimos cuenta que ya no aparecía en las SERP en posición 1 y 2 para la keyword principal con lo cual te puedes suponer el pedazo de marrón pues es una empresa que utiliza la web para captar clientes como fuente principal de ingresos.
    Utilizamos el disavow domains de google webmaster tools y eliminamos todas las páginas de spam que había dentro pero el daño ya estaba hecho.
    Quería preguntarte si una vez hecho esto, podemos pedirle a google una solicitud de reconsideración o si te parece que hemos de hacer algo más antes de ponernos en contacto con google. Muchas gracias y que sepas que ya te has ganado otro suscriptor.

  3. Ricardo Tayar’s avatar

    Hola Pasapues,

    Un comentario muy escueto pero muy cierto 🙂

    Yo diría que primero hay que conocer herramientas, hay que estar al tanto de lo que sale en el mercado y, sobre todo, como funcionan exactamente y que valor aportan diferencial respecto a otras similares. A partir de ahí, hay que encontrarles esa utilidad real y ver en que tipo de proyectos son aplicables, utilizarlas y aprender. Haciendo esto, que es por lo menos lo que yo intento, acabas teniendo una “suite” de herramientas a emplear en función del tipo de proyecto que toque. No hay que usar todo en todos los proyectos, sino que en cada proyecto hay que utilizar las herramientas apropiadas, condicionadas por la tecnología, por un lado, y por los objetivos de negocio, por otro.

    Un saludo,

    Ricardo

  4. Ricardo Tayar’s avatar

    Hola Santi,

    Este tipo de hacks son muy habituales. Se aprovechan de las vulnerabilidades de WordPress, generalmente via plugins, y son algo clásico y estandar, la verdad. Nos pasa a todos cada cierto tiempo.

    Sobre tus preguntas, ¿qué tipo de disavow realizasteis, de todos los dominios maliciosos que enlazaban o solo de URLs sespecíficas de esos dominios?, ¿?teniais aviso en Webmaster Tools de haber sido penalizados o lo hicisteis sin que hubiera notificación previa?

    En función de como lo hicierais la forma de proceder cambia, pero en general, si haces una solicitud de reconsideración lo primero que debes hacer es argumentar muy bien dicha solicitud: que ha sucedido, a que se debe el problema, que habeis hecho para corregirlo, etc. Lo mejor es enviar una solicitud completa y bien trabajada, no un simple email diciendo que lo habeis arreglado todo y punto.

    Espero haberte ayudado. Un saludo,

    Ricardo

  5. Juan Gonzalez’s avatar

    Hola Ricardo,
    ¡Muchas gracias por tu post! De verdad que me alegra mucho que und detalle así, te haya sido tan útil. Para complementar tu post, aquí te dejo un tutorial del Optimizer de SISTRIX para buscar Malware en el código fuente: http://www.sistrix.es/tutoriales/buscar-en-el-codigo-de-fuente-con-el-optimizer/
    De seguro que te será muy útil.
    Un saludo,
    Juan
    PS: En la lista semanal de ganadores y perdedores de SISTRIX verás casi cada semana dominios que han sido quemados por Malwares, cuyos propietarios ni se habrán enterado.

  6. Ricardo Tayar’s avatar

    Hola Juan,

    Muchas gracias por tu comentario! Sobre el tutorial para localizar malware y scripts no instalados, la verdad es que está muy bien y sí, es muy útil. Otra cosita más en la que Sistrix puede echarnos un cable para solucionar pequeños problemas que luego dan muchos dolores de cabeza.

    Un saludo,

    Ricardo

  7. Estanislao Berruezo’s avatar

    Un post muy útil.
    Los ataques aprovechando las vulnerabilidades de los plugins de WordPress son tan habituales que conocer mecanismos para detectarlos y cómo actuar ante ellos es básico para cualquiera que tenga que gestionar un sitio web.

  8. Manipulador de Alimentos online’s avatar

    Interesante información…
    Muchas gracias! Habrá que ponerse a cubierto. Hay verdaderos cracks por ahí sueltos!