Casos de éxito: Reparación de sitios comprometidos

martes, 24 de marzo de 2015


Todos los días se comprometen miles de sitios web. Los sitios comprometidos pueden perjudicar a los usuarios de diferentes formas: proporcionando software malicioso, recopilando información personal o redireccionándoles a sitios que no pretendían visitar. A los webmasters les interesa corregir rápidamente los sitios comprometidos, pero este proceso puede llegar a ser bastante complicado.

Para intentar facilitar el proceso de recuperación de sitios comprometidos a los webmasters, hemos creado los recursos Problemas de seguridad , Ayuda para sitios comprometidos y como siempre puedes visitar nuestro foro . Recientemente hemos hablado con dos webmasters que tuvieron este problema para que nos contaran qué hicieron para arreglar sus sitios. Vamos a compartir sus historias con la esperanza de que puedan ayudar a otros webmasters que hayan sido víctimas de la piratería. También estamos utilizando estas historias y otros comentarios para mejorar nuestra documentación sobre sitios comprometidos y para facilitar a todo el mundo el proceso de solución de problemas.

Caso de éxito n.º 1: sitio web de un restaurante con varias secuencias de comandos inyectadas por hackers

Google envió un mensaje a la cuenta de Herramientas para webmasters del sitio web de un restaurante creado con WordPress, en el que se informaba de que algunos hackers habían modificado su sitio. Para proteger a los usuarios de Google, el sitio se etiquetó como "comprometido" en los resultados de búsqueda de Google. La webmaster del sitio, Sam, analizó el código fuente y detectó que el sitio contenía muchos enlaces desconocidos con términos farmacéuticos, como "viagra" o "cialis". También vio que las etiquetas de metadescripción (en el HTML) de muchas páginas habían añadido contenidos tales como "comprar valtrex en Florida". También encontróetiquetas de división ocultas (también en el HTML) en muchas páginas que enlazaban a diferentes sitios, que Sam no había añadido.

Sam eliminó todo el contenido comprometido que encontró y presentó una solicitud de reconsideración. La solicitud se rechazó mediante un mensaje de Google, en el que se le informaba de que comprobara si había secuencias de comandos desconocidas en alguno de los archivos PHP (o en otros archivos del servidor), y si se habían hecho cambios en el archivo .htaccess . Los hackers acostumbran a añadir secuencias de comandos en estos archivos para modificar los sitios. Estas secuencias de comandos normalmente solo muestran el contenido comprometido a los motores de búsqueda, mientras que lo ocultan al resto de usuarios. Sam comprobó todos los archivos .php y los comparó con las copias limpias que tenía en la copia de seguridad. Detectó que se había añadido contenido nuevo en los archivos footer.php, index.php y functions.php. Cuando reemplazó dichos archivos por las copias de seguridad limpias, ya no encontró más contenido comprometido en el sitio. Presentó otra solicitud de reconsideración yrecibió una respuesta de Google en la que se le notificaba que el sitio estaba limpio.

A pesar de que Sam había limpiado el contenido comprometido del sitio, sabía que tendría que seguir protegiéndolo contra futuros ataques. Por eso siguió los pasos que se describen a continuación:

  • Mantener actualizado el CMS (sistema de gestión de contenido, como WordPress, Joomla, Drupal, etc.) con la versión más reciente. Asegurarse también de que los plugins estén actualizados.
  • Comprobar que la contraseña de la cuenta utilizada para acceder a las funciones administrativas del CMS sea difícil y única.
  • Habilitar la verificación en dos pasos para iniciar sesión, si el CMS la admite. (También puede denominarse "autenticación en dos factores" o "autenticación en dos pasos"). Este procedimiento también se recomienda para la cuenta utilizada para la recuperación de la contraseña. La mayoría de los proveedores de correo electrónico, como Google , Microsoft o Yahoo , admiten esta función.
  • Asegurarse de que los plugins y los temas instalados provienen de una fuente de confianza, ya que, a menudo, los plugins o los temas pirateados pueden contener código que facilita aún más la entrada de los hackers.

Caso de éxito n.º 2: sitio web profesional con muchas páginas comprometidas difíciles de encontrar

La propietaria de un pequeño negocio, María, que también es la encargada de gestionar su propio sitio web, recibió un mensaje en su cuenta de Herramientas para webmasters en el que se le informaba de que su sitio estaba comprometido. El mensaje contenía el ejemplo de una página agregada por hackers: https://example.com/where-to-buy-cialis-over-the-counter/ María habló con su proveedor de alojamiento, que analizó el código fuente de la página principal, en la que no encontró ninguna palabra clave propia del sector farmacéutico. Cuando el proveedor de alojamiento visitó la página https://www.example.com/where-to-buy-cialis-over-the-counter/ recibió una página de error. María también compró un servicio de análisis de software malicioso, pero no le sirvió para encontrar ningún contenido de este tipo en el sitio.

Entonces acudió a las Herramientas para webmasters y utilizó la herramienta Explorar como Google para acceder a la URL de ejemplo que Google le había proporcionado ( https://www.example.com/where-to-buy-cialis-over-the-counter/ ), pero tampoco le devolvió ningún contenido. Confundida, presentó una solicitud de reconsideración y recibió un mensaje de rechazo en el que se le aconsejaba que hiciera dos cosas:

1)- Verificar la versión sin www del sitio, ya que a menudo los hackers intentan ocultar el contenido en carpetas que pueden pasar ​por alto a los webmasters.

Aunque puede parecer que https://example.com/ y https://www.example.com/ son el mismo sitio, en realidad Google los trata como sitios distintos. https://example.com/ se considera el "dominio raíz", mientras que https://www.example.com/ se denomina "subdominio". María había verificado https://www.example.com/ pero no https://example.com/ , lo cual fue determinante, porque los hackers habían agregado páginas sin www, como https://example.com/where-to-buy-cialis-over-the-counter/ . Al verificar https://example.com/ , María pudo ver correctamente el contenido comprometido en la URL proporcionada con la herramienta Explorar como Google de las Herramientas para webmasters.

2)- Revisar el archivo .htaccess por si contenía nuevas reglas.

María habló con su proveedor de alojamiento, que le explicó cómo acceder al archivo .htaccess. Enseguida se dio cuenta de que en el archivo .htaccess había contenido extraño que ella no había añadido:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
</IfModule>

El hacker había insertado la regla mod_rewrite anterior para redireccionar a todos los usuarios procedentes de determinados motores de búsqueda y rastreadores de motores de búsqueda a main.php, que generaba todo el contenido comprometido. Estas reglas también pueden redireccionar a los usuarios que accedan al sitio desde un dispositivo móvil. Ese mismo día también vio, con un escaneo de software malicioso reciente, que había contenido sospechoso en el archivo main.php. Además, también encontró a un usuario desconocido en el área de usuarios del FTP de su software de desarrollo de sitios web.


María eliminó el archivo main.php, el archivo .htaccess y al usuario desconocido del área de usuarios del FTP, y su sitio dejó de estar comprometido.

Pasos para evitar que se vuelva a comprometer el sitio
  • No utilizar el FTP para transferir archivos a los servidores. El FTP no cifra todo el tráfico, incluidas las contraseñas. En cambio, el SFTP lo cifra todo, incluida la contraseña, como protección contra los intrusos que examinan el tráfico de red.
  • Comprobar los permisos de los archivos confidenciales, como .htaccess. El proveedor de alojamiento puede ofrecer ayuda para ello. El archivo .htaccess se puede utilizar para mejorar y proteger el sitio, pero los hackers maliciosos también pueden utilizarlo si consiguen acceder a él.
  • Estar atentos y buscar usuarios nuevos y desconocidos en el panel de administración, o en cualquier otro lugar en el que los usuarios puedan modificar el sitio.
Esperamos que tu sitio nunca se vea comprometido, pero si esto sucede, tenemos muchos recursos para webmasters en nuestra página de Ayuda para sitios comprometidos . Si necesitas más ayuda o quieres compartir tus propios consejos, puedes escribir en nuestro Foro de ayuda para webmasters . Si escribes en el foro o envías una solicitud de reconsideración para tu sitio, incluye la etiqueta #NoHacked . .

Escrito por Julian Prentice y Yuan Niu, Search Quality Team.Publicado por Javier Pérez equipo de calidad de búsqueda.