Sí, así es. El pasado miércoles 12, festivo nacional en España. Nos atacaron nuestra web con un virus japonés bastante famoso en este último tiempo en los ataques hacia WordPress, el Black Hat SEO.
Todo comienza el jueves 13, vuelves de un festivo, te conectas con el equipo y… nos han atacado la web.
Te vamos a contar cómo hemos llevado todo este proceso, así que si te ha pasado recientemente, podemos ayudarte.
¿Qué hago ahora con mi web?
Primero de todo mantén la calma, todo tiene solución. Si tienes un backup previo al ataque puedes restaurarlo, pero probablemente esta infección lleve algún tiempo dentro de tu web y tan solo detonó en esa fecha, así que puede que tus backups más recientes también estén infectados y no lo has percibido antes.
En nuestro caso primero analizamos los ficheros infectados y eliminamos los ficheros por completo o parte de ellos, estas partes suelen estar con código encriptado.
Así nos encontramos partes de nuestro index.php:
Nuestro .htaccess, fue eliminado y en su defecto encontramos uno nuevo, el cual no podíamos editar. Lo mejor es borrarlo y regenerar el .htaccess y sí… toca meter de nuevo todas las redirecciones que teníamos en él.
Seguimos analizando ficheros, hasta no encontrar ninguno más infectado, mientras todo esto no podíamos entrar a nuestro /wp-admin, nos han cambiado las credenciales. Si te ha pasado tan solo tienes que ir a la base de datos y cambiar la contraseña del usuario, recuerda elegir el protocolo MD5 antes de guardar, una vez hecho esto, ya puedes entrar al administrador de tu wordpress.
Mientras seguimos analizando los ficheros infectados, se nos enciende la bombillita y pensamos…¿no será el famoso virus japonés?
¿De qué trata este virus japonés para wordpress?
Cuando vemos que se trata de este virus, la cosa se pone seria. Este virus nos inyecta palabras claves en japonés para nuestro sitio web.
Este Black Hat SEO secuestra los resultados de búsqueda de Google al mostrar palabras japonesas en el título y la descripción de las páginas infectadas. Así visualizamos nuestro sitio web en google:
En nuestro caso no solo se trataba de la home, también de 95.6mil urls falsas que enviaban a 404, mostrándose en google con título y descripciones en japonés.
Puedes descubrir tales páginas buscando site:[la url de tu web] japan en la búsqueda de Google.
¿Y ahora qué hacemos?
- Seguimos manteniendo la calma.
- Revisamos nuestros ficheros y eliminamos los infectados totalmente o parte de estos.
- Volvemos a pasar el antivirus de nuestro hosting.
- ¿Aún hay ficheros infectados? Seguimos revisando hasta que muestre 0 infectados.
- Con el antivirus del hosting no basta, pasamos Wordfence desde nuestro WordPress, analizamos también el feedback desde aquí y misma operación.
- Le decimos a google desde Search Console, que nos actualice sitemap y robots. Además de actualizar las urls más afectadas, como en nuestro caso la home.
¡Hemos sobrevivido al Black Hat SEO!
Así es, tras dos días de muy buen trabajo en equipo hemos logrado limpiar nuestra web atacada y volver a los resultados de búsquedas correctos mostrados en google.
¿Te ha gustado nuestra aventura y no quieres perderte ninguna más?
¡Suscríbete a nuestra newsletter!