SEO Negativo – Hacking Linkbuilding Avanzado con instalación de directorios

En este post mostraré como unos jodidos japoneses se han realizado una red privada de blogs a través del hacking de sitios webs con un patrón muy evidente, básicamente inyectaron un directorio en la raíz del sitio web y empezaron a realizar una rueda de enlaces entre sitio hackeados y decidieron sacar enlaces salientes con el atributo nofollow hacia su money site.

En este ejemplo os mostraré al detalle como fue la detección del problema a través de la herramienta Ahrefs y comandos avanzados de búsqueda desde el mismo Google.es y además mencionaré como logré solucionar este ataque en uno de mis sitios web.

¿Cómo darse cuenta que han hackeado mi sitio web?

Llevando un control del dominio con herramientas de detección de enlaces

Revisando la URL del dominio por herramientas de detección de enlaces podremos detectar subidon en los “Referring domains” y las páginas que nos envían enlaces a nuestro sitio web a través de la gráfica que nos muestra Ahrefs en su herramienta que es muy visual.

ahrefs captura 101recetas

Vemos una recta vertical comprendida entre los días 26 y 30 de Agosto de 2015, el dominio pasó de 45 referring domains a más de 380 referring domains en menos de 3 días. Al ver una recta vertical de estas características en Ahrefs solo me viene una palabra a la mente – SEO Negativo.

Controlando las páginas indexadas del sitio web

No es normal que un micronicho con apenas 20 entradas tenga 962 páginas indexadas de la noche a la mañana, además esta gráfica se puede comprobar muy fácilmente su subida a través de la Search Console. En este caso es un micronicho que lo tenia bastante abandonado y no estaba dado de alta en las herramientas de Google Analytics ni Google Webmaster Tools (GRAN ERROR) o actualmente conocido como Search Console.

site 101 recetas

Al entrar en la segunda página del comando site:101recetas.com nos encontramos los resultados tal que así…

site pagina 2

Una vez detectado el foco del problema tenemos que acceder vía FTP al directorio raíz para tratar cuanto antes el problema. Antes de nada yo utilicé el comando Disallow: /SEOOOT*/ para evitar que cualquier robot pueda acceder de nuevo a dicho directorio donde me han inyectado el código.

bloqueo directorio

Dicho esto procedemos a incluir la línea de código en el robots.txt

robots 101recetas

Esto es uno de las primeros consejos que nos da Google en su sitio web cuando solicitamos eliminar cualquier URL del index de Google.

“Utiliza robots.txt para especificar cómo deben rastrear tu sitio los motores de búsqueda o solicita que se elimine tu URL de los resultados de búsqueda de Google (consulta antes los requisitos para poder eliminar una URL). Solo el propietario de un sitio y los usuarios con permisos completos pueden solicitar que se elimine una URL.”

eliminación de URL

Accediendo al FTP encontramos el querido directorio que está generando tal destrozo en el sitio web, en la captura de más abajo veréis que tengo el directorio instalado en la propia raíz. Todo esto además de ser contenido duplicado es carne de cañón para Google Penguin, si no se actúa de forma rápida y correcta nuestro sitio web puede acabar penalizado por ambos.

capturas SEOOOT

Dentro del directorio se puede observar toda la mierda que nos han inyectado.

archivos SEOOOT

Cuando accedí a la URL ni cortos ni perezosos se mostraron todos los archivos HTML que se subieron al sitio web.

directorio SEOOOT

Borramos el directorio de la raíz del dominio y limpiamos la instalación del WordPress reemplazando con una instalación nueva y actualizada a su ultima versión.

limpio

Análisis de los archivos subidos

Todas las URLS seguían un patrón de enlazado “dofollow” a otros sitios que tenían casualmente el directorio /SEOOOT/ en sus URLS, de esta forma se estaba produciendo un enlazado interno dofollow con sitios únicamente hackeados. Al tener todos los sitios en la URL el directorio /SEOOOT/ pude deducir que todos estos sitios webs eran páginas hackeadas como la mía donde tuvieron acceso para la instalación de este directorio en la raíz del hosting.

Además se seguía un patrón de enlazado interno para pasar autoridad a otras páginas internas de mi mismo sitio web donde también pusieron enlaces salientes a otros sitios webs hackeados. Por lo tanto estuvieron haciendo una rueda de enlaces reciproca entre sitios webs hackeados en ambas direcciones de la rueda.

rueda enlaces seooot

Aquí os muestro una imagen de una página indexada del sitio web para que os resulte más fácil y más visual entender el tipo de linkbuilding hacking que estaban realizando.

hackeo enlaces

Seguimos investigando los enlaces salientes del sitio web y vimos varios enlaces salientes a 3 dominios muy similares que no tenían el directorio SEOOOT en su URL. Además estos enlaces tenían el atributo “nofollow” y coincidía maravillosamente con ser los únicos enlaces salientes que tenia el sitio web con atributo nofollow.

niseen enlaces

Si nos fijamos en Ahrefs se detectan que mi sitio tiene 92 enlaces salientes y 89 de ellos son “dofollow” y únicamente 3 enlaces tienen el atributo “nofollow” y coinciden plenamente en no tener el directorio /SEOOOT/ en la URL.

enlaces nofollow

¿Ya huele desde aquí no….?

Ni cortos ni perezosos examinando algunos enlaces salientes de mi sitio web encontramos los tan ansiados enlaces nofollow salientes. Parece que ya hemos cazado al listillo que quiere montarse una red privada de blogs privados a costa de los demás…

enlaces nofollow salientes

Vamos a ver los participantes de esta rueda de enlaces a través del comando inurl:/SEOOOT/

inurl seooot

Parece ser que la red privada de blogs es bastante grande y google nos arroja 109.000 resultados de sitios que han sido hackeados y tienen inyectado el directorio /SEOOOT/ en su sitio web.

Paso a paso para limpiar la inyección de código

Scrapear todas las URLS indexadas

Scrapear todas las URLS indexadas con este comando y enviar a desindexar a través de Google Webmaster Tools.

Podemos emplear varios comandos para encontrar todas las URLS que han indexado en nuestro sitio web.

  • site:101recetas.com “/SEOOOT/”
  • site:101recetas.com inurl:/SEOOOT/

urls infectadas

Y después de realizar este comando Google nos arroja 953 resultados indexados que contienen el parámetro SEOOT en la URL y que además provienen del dominio 101recetas.com a través de estos comando de búsqueda avanzados.

Con scrapebox realizaremos un scraping de todas las URLS que previamente han sido infectadas y las mandaremos a Google Webmaster Tools para su desindexación.

eliminación de URL

Deberemos tener mucha paciencia para que se produzca su desindexación total al tratarse de un ataque tan agresivo como el que ha recibido mi sitio web.

Consejos Post-Hackeo

  • Cambiar plantillas
  • Si usamos WordPress debemos tenerlo actualizado
  • Crear una contraseña segura
  • Tener copias de seguridad
  • Plugins actualizados si usamos WordPress
  • Cambiar contraseñas
  • Pedir ayuda al proveedor de hosting
  • Instalar modulos de seguridad como MOD Security

Evitar ser penalizados por Google Panda y Google Penguin

Para evitar ser penalizados por Google Panda deberemos remover el directorio web cuanto antes e intentar acelerar su desindexación con la herramienta para Webmasters para evitar indexar esta cantidad inhumana de contenido duplicado.

Para evitar ser penalizados por Google Penguin deberemos realizar un estudio de los enlaces entrantes a nuestro sitio web y acto seguido realizar un disavow para evitar que estos enlaces que provienen de páginas hackeadas con anchors text japoneses tengan efecto alguno en nuestro sitio web.

Comments
  1. Yvan
    • Joel
  2. Alex
    • Joel
  3. Pablo
    • Joel
  4. David
    • Joel
  5. SorSeoAlcalde
  6. Pedro
  7. Aridane Garcia
  8. Manuel

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *