Mucho tiempo sin escribir en el blog e incluso recibí algunos mensajes privados de lectores del blog avisándome del ataque de SEO negativo que me estaban realizado. Incluso muchos usuarios que no lograron detectar el ataque, me comentaban por privado que mi web estaba caída o que les cargaba muy lento el blog…. Y un sinfín de mensajes preguntando por el blog.
Sin duda alguna uno de los principales problemas que nos enfrentamos a diario todos los usuarios de Internet son los virus y los ataques negativos hacia nuestros sitios web o nuestro ordenador. Un buen profesional SEO o de internet puede darse cuenta de este tipo de ataques de forma muy sencilla, yo personalmente me di cuenta al utilizar el comando site:mundojoel.es en Google y ver que mi sitio web tenia indexadas más de 9000 páginas de contenido !
Antes de entrar en detalle sobre mi caso en concreto quiero hacer hincapié en explicar más en detalle todo acerca de los ataques referentes a SEO Negativo y defacing web.
Aquí os dejo un extracto de la trastada que hicieron en mi sitio web, como he comentado anteriormente llegaron a indexar más de 9.000 páginas de contenido puramente basura que hacia redirecciones a otras landing
¿Que es el SEO Negativo?
Hacemos referencia a todo tipo de acciones negativas que normalmente están penalizadas por todos los buscadores. Estas acciones muchas veces se realizan en modo automático al encontrar una brecha de seguridad en tu sitio web o en alguno de los plugins que tienes instalados en tu blog.
Acciones de SEO Negativo que se emplearon en el blog
Personalmente ha sido una gran experiencia personal, enfrentarse al ataque negativo que estaban realizando a mis sitios webs ha sido increíble. He llegado incluso a disfrutar tratando de lograr la solución definitiva para desinfectar todos mis sitios infectados dentro de mi servidor.
Aquí os dejo un par de prácticas de las más comunes que hicieron sobre mi blog:
- Contenido Oculto
- Redirecciones
- Indexación de miles de páginas con contenido basura
- Caída del servidor
Identificación y Pasos a seguir para eliminar el ataque
Para identificar el ataque es bastante sencillo, si tienes tu web dada de alta en las herramientas de GWT verás una subida bastante abrupta de páginas indexadas.
Además me hicieron linkbuilding de forma gratuita…
Otra forma de identificar un ataque seria a través caídas en el servidor a través de avisos en webmaster tools (el robot de google no puede acceder a tu sitio), tiempos de carga bastante elevados en tu sitio web, control de los enlaces que recibe tu sitio web.
Una vez tenemos identificado el problema vamos a proceder a eliminar la infección.
Hacer una nueva instalación
Cuando nos infectan un nuevo sitio web debemos crear una nueva instalación con todos los archivos limpios. Para ello descargamos la carpeta wp-content del sitio web y hicimos una copia de la base de datos a través del cpanel.
- Carpeta wp-content
- Copia de la base de datos
Procedí a eliminar todos los archivos de la instalación del blog y subí una nueva instalación de wordpress que descargué.
Nuevamente creé una nueva base de datos para la nueva instalación e importe la que descargué anteriormente, siempre antes comprobando que en la tabla de contenido de la base de datos no tenia ninguna infección ya que únicamente tenia mi propio contenido y no las 9.000 páginas de contenido basura.
Se puede dar el caso de infección a nivel de base de datos, pero normalmente la infección nunca es tan profunda (por suerte). Son infecciones superficiales a nivel de archivos que se pueden eliminar con cualquier FTP.
Acto seguido deberemos comprobar a mano la carpeta wp-content/uploads donde solo deberemos encontrar archivos en formato imagen «.jpg» «.png» y en este caso tuve que eliminar todos los archivos .php que fueron inyectados a través de la infección del ataque de seo negativo, normalmente estos archivos tenían nombres bastante comunes como «dir.php» «default.php» y similares.
Para este proceso me ayudo Jordi Ordóñez a través de un Tweet que puse en mi timeline, oye el tío se lo curro muchísimo y me recomendó un plugin llamado Wordfence que encontró archivos infecciosos en la carpetas wp-content/uploads que a su vez volvían a modificar archivos que provenían de una instalación limpia como el version.php de la carpeta wp-includes que subí completamente limpia directamente desde la descarga de wordpress que mencioné anteriormente y gracias a este plugin fuimos de forma más directa erradicar la infección.
Aquí os dejo el mejor consejo del post -Ten buenos contactos y gente que tenga más experiencia que tú !
Cuando tenemos la carpeta wp-content/uploads limpia de cualquier archivo .php y únicamente tenemos archivos en formato imagen «.jpg» «.png» podemos proceder a realizar la nueva instalación en el servidor limpio.
Cuando realizamos la nueva instalación reemplazamos la carpeta wp-content/uploads por nuestra carpeta uploads previamente revisada mano a mano sin ningún archivo infeccioso. Y por último vinculamos con la nueva base de datos y ya tendremos nuestra instalación limpia y nuestro sitio web seguro.
De esta forma tenemos eliminadas todas las redirecciones ocultas que se producían a través de esos archivos php inyectados en el código del sitio web.
Eliminar contenido indexado
Cuando realizamos la limpieza de la instalación generamos de forma automática miles de páginas de error 404 que deberemos eliminar del indice de Google.
El procedimiento fue realmente muy sencillo, con la ayuda de scrapebox hice un scrap con el footprint «site:mundojoel.es inurl:clk» y descargué una lista en formato .txt de forma sencilla con todas las URLS indexadas con contenido basura.
Acto seguido eliminé todas las URLS del indice de Google a través del panel de Eliminación de URL con la ayuda de una extensión de chrome que detallaré más abajo el proceso.
Eliminar URL masivamente en Google Webmaster Tools
Descarga esta extensión a través de esta URL – https://github.com/noitcudni/google-webmaster-tools-bulk-url-removal.
Una vez descargada procederemos a instalar la extensión, abriremos nuestro navegador Chrome y accederemos al panel de Configuración.
Y en el menú de la izquierda “Extensiones” debemos habilitar el modo desarrollador para cargar la extensión comprimida que descargué de github.
Presionamos sobre «Carga extensión descomprimida..» y subimos los archivos descargados de github anteriormente y habilitamos la extensión.
Y una vez realizamos la instalación de esta extensión y su habilitación ya podremos eliminar en Bulk todas las URLS a través del panel de eliminación de URLS de Google Webmaster Tools, veremos que nos aparecerán unas nuevas opciones para subir la lista de URLS previamente conseguidas con scrapebox.
En el apartado de «seleccionar archivo» deberemos añadir el archivo con todas las URLS, el archivo debe ser en formato .txt y todas las urls que queremos eliminar deben estar separadas con salto de línea. Y de esta forma con la ayuda de Scrapebox y esta extensión de Chrome podremos eliminar todas las URLS que queramos del índice de Google.
De esta forma ya tenemos nuestro sitio web con una instalación limpia y libre de la infección y además hemos mandado la solicitud para desindexar todo el contenido irrelevante que nos inyectaron.
Redirecciones desde la red Vodafone 3g
Por último una vez lo tenia todo limpio y optimizado… me encontré con un problema poco común. Y además te voy a dar una pista, tiene que ver con Vodafone… ¿Lo has adivinado ya?
Cuando entraba a mi blog desde cualquier dispositivo móvil con la red Vodafone automáticamente me hacia infinidad de redirecciones y acababa en una landing de CPA. ¿Cual fue el motivo y como lo logré solucionar?
Fácil – Los puse a parir por twitter y por el foro de Vodafone
Era absolutamente problema de la caché de Vodafone y curiosamente horas después de abrir el post en el foro de Vodafone me lo eliminaron y quedó arreglado el tema de las redirecciones en la red Vodafone.
¿Cómo conseguí saber que era culpa de la caché?
Fácil, me instalé una App en el iPhone llamada Ping Lite (Sirve cualquier app con la que se pueda realizar ping) y detecté el problema !
Cuando realizaba ping a través del móvil y la red 3g la caché de Vodafone estaba mostrando una IP que no era la de mi servidor, aquí más abajo os dejo captura. Y fue bastante evidente que el problema era cosa de la caché de la red 3g de esta compañía ya que desde otros operadores como Yoigo y Movistar no tuve ningún tipo de problema con redirecciones.
Consejos y trucos para evitar que nos hagan SEO Negativo con hacking
- Tener un backup programado de nuestro sitio web cada semana
- No utilizar plugins ni themes nulled
- Tener la versión de WordPress y de los plugins actualizados
- Limpia de forma asidua tu servidor
- Utilizar contraseñas fuertes y seguras
- Cambiar los datos de acceso por defecto
Con estos consejos no se pueden evitar estos ataques de SEO Negativo, pero podremos intentar minimizar el riesgo de sufrirlos si tenemos en cuenta estos consejos que os dejé más arriba.
Encantado de haberte echado un cable. Me cago en la vida de la caché de Potafone!
Eres un crack jordi!
Hola Joel.
Me acaba de pasar esto en mi página de wordpress. Lo que no entiendo es como evitar que alguien particular, alguien de la competencia nos haga seo negativo como esto. Quiero decir ¿ estamos expuestos en cualquier caso a que cualquiera nos haga algo parecido a esto en cualquier momento? Muchas gracias por tu postura. Me has ayudado mucho.
Hola Joaquin,
Ten en cuenta que WordPress es el CMS más utilizado del mundo ! Cualquier brecha o cualquier fallo que detecte una vulnerabilidad… todos los sitios que tengamos instalado ese plugin o theme desactualizado con esa pequeña brecha estamos expuestos a sufrir el ataque. No creo que sea nada personal de la competencia, simplemente somos uno más al que joder…
Ante esto muchos ánimos y levantar nuevamente tu sitio que es muy sencillo siguiendo el post !
Saludos
Hola, muchas gracias por compartir esta extensión para chrome…tengo más de 15.000 url que me coló un malware en wp…y quería preguntarte lo siguiente: seguí todos los pasos que indicas, pero tras un rato de eleiminar urls en google webmaster me sale lo sgte: «Has alcanzado el límite de envíos. Vuelve a intentarlo más tarde.» De esto, hace un día, y sigo sin poder seguir eliminando y mi pregunta es ¿Tienes alguna idea de cuanto dura esta limitación?¿Existirá alguna forma de saltársela? Ojalá puedas ayudarme. Slds.
Justo Danielo más abajo propuso una solución!
Espero que te sirva y comentes por aquí que tal te fue…
Gracias por comentar Juana !
Hola Joel, gran aporte!
Recordar hacer paquetes de URL de máximo 1000, ya que da problemas y hay que estar un poco encima, pero esta claro que quita mucho trabajo.
También se puede utilizar el imacros en lugar del la extensión para el Chrome. Para mi la ventaja es que reduce el fallo que devuelve de » You have exceeded your quota limit!», ya que con imacros puedes programarle pequeñas pausas y dosificar más la carga. Mas lento a corto plazo pero mas rápido, ya que puedes dejarlo largas horas sin preocuparte.
Aquí dejo un script para usarlo en imacros:
VERSION BUILD=8940826 RECORDER=FX
TAB T=1
SET !DATASOURCE C:\Index.csv
SET !LOOP 1
SET !DATASOURCE_LINE {{!LOOP}}
TAG POS=2 TYPE=DIV ATTR=TXT:Ocultartemporalmente
TAG POS=1 TYPE=INPUT:TEXT FORM=ID:newremovalform ATTR=ID:urlt CONTENT={{!COL1}}
TAG POS=1 TYPE=INPUT:BUTTON FORM=ID:newremovalform ATTR=NAME:urlt.submitButton
TAG POS=1 TYPE=INPUT:SUBMIT FORM=ID:the-form ATTR=ID:submit-button
WAIT SECONDS=2
Saludos!
Muchas gracias por el consejo Danielo voy a probarlo enseguida. Slds.
Gracias Danielo eres un crack 🙂
Gracias por la info Joel, solo por curiosidad: ¿Cuanto tiempo de llevó hacer todo este proceso?
Muy útil el post y sobre todo la extensión para chrome…No me ha quedado muy claro lo que has dicho de vaciar el host periodicamente…aunque me hago una idea …Esto va para esquema a tener a mano en el día a día. Un saludo
Bueno, la verdad es que uno no se llega a imaginar todo lo que pueden hacer con su sitio en términos de SEO negativo… Claramente no me gustaría estar en esa situación. Creo que muchas veces nos angustiamos de más, sobre todo cuando no entendemos muy bien del tema, aunque, lamentablemente, esto parece ser bastante común. Muy útiles los consejos y muy clara la explicación para minimizar estos riesgos. ¡Gracias Joel!
A ver, si entendí bien aquí se habla sobre infecciones, malware, etc.. asi que si estamos atentos de no ser infectado con nada y teniendo el plugin de Yoast (o alguno similar) para que no te indexen forzadamante errores 404 no habría mucho de que preocuparse?
Alcanze el limite maximo de envios, asi que esperare a actualizar