Por que mi web se ve en chino en Google?

No es chino sino japones, y no lo muestra así por capricho, sucede que tu web ha sido comprometida, alguien ha tenido acceso a tu servidor, y seguramente también ha intentado quitarte la propiedad en Search console… si no lo ha hecho ya.

Hackeado por Japanese Keyword Spam

También conocido por el acrónimo JKS, este malware ha afectado a millones de sitios, pero no te desesperes…. Lo primero que deberás hacer, es cambiar las contraseñas y si es posible, también nombre de usuario. Recuerda que las contraseñas deben tener por lo menos 12 caracteres, entre mayúsculas, minúsculas, números y símbolos

Este tipo de intrusión no tiene advertencia en Search console hasta que ya es muy tarde… como ahora. El software malicioso crea nuevas URLs con texto autogenerado en japonés y con nombres de directorios al azar.

Esas páginas están monetizadas mediante enlaces a programas de afiliados, por eso la necesidad del hacker de hacerse de la propiedad del sitio Search console para cambiar la segmentación internacional y presentar nuevos sitemap para facilitar la indexación de las nuevas URLs

Como se soluciona?

Por lo general soy partidario de borrar todo el directorio raíz y empezar de nuevo con una copia sana, pero ¿Tienes copia de respaldo actualizada de tu sitio?… Seguramente no, como la mayoría de los webmasters… ojo, me incluyo.

Entonces debes elegir entre volver a instalar todo el sitio desde cero, perdiendo desde las posiciones en el buscador hasta la paciencia, o te decides a quitar el malware manualmente… para dejar la web como estaba, pero limpita.

Si eliges lo segundo puedes intentar 2 técnicas,  comencemos con la mas facil:

Explicaré el procedimiento sobre la estructura de WordPress ya que es el cms más infectado con este malware

Técnica de recuperación XML de los contenidos.

En todos los casos, actualiza la versión de WP y todos los plugins en uso…. pero están infectados.. no importa ya veras porque conviene hacerlo (recuerdalo *).

La parte más engorrosa de este método es quitar desde el escritorio de WordPress, las páginas, entradas y categorías en japonés que se han creado.

Una vez que lo hayas hecho, también desde el escritorio, accedes a Herramientas -> Exportar

No elijas exportar todo el contenido porque solo necesitas los contenidos, y es mas difícil trabajar con un solo archivo de exportación, en cambio vamos a utilizar archivos por cada sección que necesitemos recuperar.

Entonces bajas el archivo de las entradas, de todos los autores y todas las categorías,  todos los estados y todas las fechas

Lo propio con las páginas también de todos los autores y de todas las fechas y estados

Esos contenidos deberían estar limpios, ya que es poco probable que el malware se transfiera en cada archivo XML de exportación. Por ultimo guarda el archivo wp-config.php (tiene los datos de la bd) y la carpeta con las imágenes (normalmente  /uploads/ )

A esta altura ya tienes los contenidos a resguardo, ahora te toca borrar la base de datos desde Phpmyadmin en el servidor, y todo lo que encuentres en el directorio raiz… si todo !!

Luego instalas una versión limpia de la plataforma, tema y plugins, e importas el archivo XML. Seguramente te pedirá que instales el Importador de WordPress, ya que esté no viene por defecto en la plataforma

Si todo sale correctamente, tal vez encuentres algunos detalles menores de maquetación, pero el sitio volverá a estar operativo y sin malware

Técnica de restauración completa

Claro que tal vez eres obsesivo y lo tomas como un desafío personal, entonces quieres recuperar tu web, tal cual estaba antes del ataque, mismos estilos y maquetado del theme.

Mediante FTP, bajas el sitio completo a tu PC incluyendo el archivo sql de la base de datos, con el objetivo de trabajar offline

Una vez que tengas todos los archivos de tu sitio en una carpeta de tu disco rígido, debes identificar 3 grupos:

  • Núcleo de WordPress
  • Plugins
  • Tema o plantilla

Núcleo

Baja la misma versión de WP, que previamente has actualizado, y reemplazas la que tienes en uso.

Plugins:

Con la misma operatoria anterior, bajas los plugins originales en su correspondientes versiones y reemplazas los existentes.

Si antes no hubieras hecho la actualización tanto de de WP como Plugins como te recomendé (lo recordaste*), ahora estarías en la engorrosa tarea de buscar versiones anteriores 😉

Tema

Aquí es donde puede complicarse, si has tenido la precaución de instalar un tema hijo con las personalizaciones del tema, reemplazas el tema por uno sano desde el repositorio de WP o del creador , y dejas de lado el hijo, para analizarlo.

Por descarte, sólo te quedan para inspeccionar la carpeta del tema hijo y el archivo sql de la base de datos.

Se supone que tienes un antivirus actualizado en tu PC, eso es muy importante porque desde allí puedes haber infectado a tu sitio sin quererlo.

Configura tu antivirus para que no borre los archivos infectados, ni tampoco los limpie, ya que quedan inutilizables para su función original. Sólo quieres saber cuáles son y en el estado que se encuentren.

Ya te expliqué anteriormente cómo se crea un propietario fantasma de search console modificando .htaccess. Lo más probable es que, utilizando la misma técnica, haya más líneas sospechosas en ese archivo, e incluso pueden existir varios .htaccess infectados en diferentes carpetas de directorio raíz.

Por cuestiones de seguridad muchos servidores mantienen ocultos los archivos .htaccess,  debes configurar tu cliente FTP o el administrador de archivos del panel de control, para que muestre todos los archivos ocultos, ya que puede haber archivos php maliciosos, ajenos a la plataforma, pero al no verlos, corres el riesgo de dejar un agujero backdoor para

Qué debo Buscar en los archivos infectados?

El código pirata suele comenzar llamando a funciones PHP como base64_decode, rot13, eval, strrev, gzinflate. Tómate tu tiempo para buscar esas funciones entre las líneas de código de los archivos, mediante un editor de texto plano con búsqueda por lotes, Notepad++ es una buena opción

Te puede complicar la búsqueda porque hay algunos plugins y temas que también usan esas funciones, y si  las quitas puedes terminar arruinando la funcionamiento la plataforma. Si conoces medianamente el código php, cuyos caracteres son fácilmente identificables, te facilitará identificar bloques de códigos como éste:

$ O_O0O_O0_0 = urldecode ( "% 6E1% 7A% 62% 2F% 6D% 615% 5C% 76% 740% 6928% 2D% 70  % 78% 75% 71% 79% 2A6% 6C% 72% 6B% 64% 679 % 5F% 65% 68% 63% 73% 77% 6F4% 2B% 6,637% 6A" );

Nadie dijo que sería fácil, todo este proceso es muy engorroso y suele llevar horas, pero es el costo de volver a tener el sitio tal cual estaba antes de la infección

Como prevenir ataques

  • Mantener actualizada la plataforma del CMS a las últimas versiones lo mismo con plugins y componentes del sistema.
  • Hacer análisis periódicos de tu computadora local con un antivirus actualizado.
  • Cambiar periódicamente las contraseñas de acceso, tanto a WordPress como al panel de control del servidor.
  • Utilizar 2FA, autenticación de dos factores, contraseñas y captcha, son lo más común. Hay que aclarar que esto no evitará una intrusión, se trata de complicar lo más posible la tarea hacker
  • Instalar plugins de protección y monitoreo del sistema, Sucuri plugin y Wordfence, son excelentes ejemplos
  • Utilizar algún CDN global como Cloudflare, para agilizar la carga del sitio y proteger de cualquier intento de hackeo
Compartir

35 comentarios en “Por que mi web se ve en chino en Google?”

  1. Hola, me pasa lo mismo con una web feelwater.es
    Ya tengo todo el WP limpio imagino que google lo acabe autoindexando, pero por si acaso estoy registrando la web en search console, y como pide crear un registro DND TXT para verificar la autorizad, acabo de ver que el dominio en cuestion tiene muchos registros TXT con unas cadenas de texto muy largas sospechosos, puede ser parte del problema? Os dejo una captura https://ibb.co/TmFdb1B
    Gracias, en genera por el contenido, es de mucha utilidad 🙂 Un saludo

    1. Hola San

      Según la memoria caché de Google, hasta el dia de ayer (14/09/2021) tu web seguía infectada, como puedes observar en la captura.
      Cache

      Si no has podido solucionar el problema siguiendo mis consejos, deberias consultar con tu proveedor de hosting y según lo que te responda, borrar todo el sitio del servidor y comenzar de nuevo.

      Salu2

  2. Hola, en mi caso se sen alguna web por ejemplo si veo un video en youtube y lo quiero compartir por whastapp alli si sale el whastapp en chino y face tambien en parte se me conviente en chino. He formateado el disco rigigdo y sigo con el mismo probelma gracias si me puedes orientar.

    1. Hola Nicolas
      El malware fue creado para inyectar spam en tu web, y el lugar mas conveniente para el spam es el dominio principal. El sub-dominio es solo la puerta de entrada y contenedor del código maligno.
      El procedimiento sigue siendo el mismo: cambia las claves, borra todo los archivos del servidor ( del dominio y subdominio), restaura copia sana si existe o volver a empezar de cero.

      Salu2

    1. Hola, no sé cuándo has solucionado el problema, pero el día 28 de Marzo según la cache de Google, se volvió a rastrear tu web evidentemente infectada como puedes ver en la captura:
      Cache

  3. Hola, he seguido todas. tus recomendaciones:
    1.- Cambie contraseñas
    2.- Elimine en su totalidad toda la información en mi hosting
    3.- Volvie hacer el sitio nuevo en WP, sin ningún plugins de los anteriores y solo con un nuevo “Elementor”
    4.- A través de GOOGLE SEARCH CONSOLE, ME APARECEIA DE UN ERROR DE PIRATERIA Y GOOGLE YA ME MANDO UN MSN DONDE ME DICE QUE LA RECONSIDERACIÓN FUE APROBADA Y EL LOS BUSCADORES YA NO ME APARECE LA LEYENDA DE “SITIO POSIBLEMENTE PIRATEADO”, PERO AÚN SIGUE APARECIENDO LA LETRAS EN JAPONES
    5.- EN GOOGLE SEARCH CONSOLE AL MOMENTO DE AÑADIR PROPIEDAD Y TECLEO MI DOMINIO ME APARECE QUE EL URL CANÓNICO ES https://smartideasgroup.mx/ en vez de http://smartideasgroup.mx/
    6.- tambien ya verifique con google que soy el propietario del dominio insertando un archivo html en mi hosting para que google validara. Y EFECTIVAMENTE HABIA UN CORREO DE PRINCIPIOS DE AÑO DEL SUPUESTO HACKER EL CUAL YA LO ELIMINE EN GOOGLE SEARCH CONSOLE AL AUTENTICAR QUE SOY EL PROPIETARIO.
    7. POR ULTIMO YA SOLICITE A GOOGLE QUE INDEXE MI DIMINIO CORRECTO

    POR TODO LO ANTERIOR REQUIERO TUS RECOMENDACIÓN QUE MÁS PUEDO HACER PARA ELIMINAR LAS LETRAS EN JAPONES EN LOS BUSCADORES

    1. Hola Alejandra

      Lamento lo que te ha ocurrido, en este tipo de situaciones lo primero que debes hacer es cambiar contraseñas de acceso a tus cuentas WordPress, servidor y Search console.
      Sigue los pasos detallados en el artículo y si algo no te queda claro, contacta conmigo por email o whatsapp y tratare de ayudarte.

      Salu2

  4. Maria Haydee Malvicino

    A mi también me sucede esto, aunque tengo un equipo nuevo en este también esta el problema. No se como hacerlo, y la explicacion para solucionarlo no alcanzo a entenderla bien, hay términos que que no conozco. Habría otro método para arreglarlo?

    1. Hola Maria Haydee
      El problema no está en tus equipos, está en el sitio alojado en el hosting que pagas anualmente.
      Para solucionarlo debes tener conocimientos sobre cómo funciona tu web.
      Contacta conmigo por mail o whatsapp y tratare de ayudarte.
      Salu2

  5. Necesito ayuda ya que he intentado hacer esto pero no he podido y en cualquier dispositivo donde abro mi cuenta me aparece este tipo de eltras

      1. Hola , a mí también me pasa igual , borre absolutamente todo del servidor y restaure una copia de seguridad un tanto vieja pero limpia de malware , ha pasado más de un mes y me siguen saliendo , eso sí ya redireccionan a mí página , pero me gustaría eliminar del todo esas engorrosas letras japonesas , intenté quitar el link de las búsquedas de Google y no me dejó , dice que no soy el dueño de dicho dominio web , si me pudieras ayudar agradecido de por vida

        1. Hola Sergio

          Tu sitio web aun sigue infectado o se ha vuelto a infectar, según veo.
          La última caché en japones almacenada en Google es del dia de hoy (21/10/2020)
          Si restauraste una versión sana sin haber cambiado antes todas las contraseñas de acceso, no sirve de nada.
          Intentalo nuevamente, sino me escribes por privado y me cuentas los pasos que seguiste.

          Salu2

  6. Hola como estan? limpie todo el wordpress, elimine todos los archivos, limpie la base de datos sin embargo google sigue mostrando la meta descripcion, probe distintos plugins pero el problema persiste, ya no se que mas hacer

  7. Hola!

    Había detectado este problema en febrero y se soluciono en abril, ya no aparecía nada pero ahora de nuevo aparecen letras japonesas cada ves que hago una busqueda en google de mi sitio. Me puedes ayudar

    1. Hola Denisse

      Envia un mensaje mediante el formulario de contacto, describiendo cuales fueron las acciones que has tomado oportunamente para solucionar el problema:
      Por ejemplo, si has restaurado una copia de seguridad del sitio, o has instalado algún plugin de seguridad.
      Espero tu respuesta, para poder ayudarte

      Saludos

  8. Gracias Carlos por tu información. Te cuento que aunque seguí todos los pasos, ( llevo luchando con ésto desde hace un año) sigo encontrando en los resultados páginas que creía eran en chino,Y muchas veces, al guardar un archivo, en mi ordenador, se quiere guardar con esos caracteres. No trabajo con WordPress.
    Un saludo

        1. Tu web era de tarot, verdad? no veo que estén presentes caracteres orientales en los resultados del buscador.
          Al no tener base de datos ni frontend, puedes analizar tus páginas con un antivirus actualizad en tu pc.
          Preventivamente cambia las claves de acceso a tu servidor periódicamente. Si Search console no te indica nada, creo que no deberias preocuparte.

          Salu2

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *