Por que mi web se ve en chino en Google?

No es chino sino japones, y no lo muestra así por capricho, sucede que tu web ha sido comprometida, alguien (persona o robot), ha tenido acceso a tu servidor, y seguramente también ha intentado quitarte la propiedad en Search console… si no lo ha hecho ya.

Hackeado por Japanese Keyword Spam

También conocido por el acrónimo JKS, este malware ha afectado a millones de sitios, pero no te desesperes…. Lo primero que deberás hacer, es cambiar todas las contraseñas… me refiero al servidor, base de datos, CMS, email del dominio y de tu cuenta de Google… si, TODAS. Recuerda que las contraseñas deben tener por lo menos 12 caracteres, entre mayúsculas, minúsculas, números y símbolos

Este tipo de intrusión no tiene advertencia en Search console hasta que ya es muy tarde… como ahora. El software malicioso crea nuevas URLs con texto autogenerado en japonés y con nombres de directorios al azar.

Esas páginas están monetizadas mediante enlaces a programas de afiliados, por eso la necesidad del hacker de hacerse de la propiedad del sitio Search console para cambiar la segmentación internacional y presentar nuevos sitemap para facilitar la indexación de las nuevas URLs

Como se soluciona?

Por lo general soy partidario de borrar todo el directorio raíz y empezar de nuevo con una copia sana, pero ¿Tienes copia de respaldo actualizada de tu sitio?… Seguramente no, como la mayoría de los webmasters… ojo, me incluyo.

Entonces debes elegir entre volver a instalar todo el sitio desde cero, perdiendo desde las posiciones en el buscador hasta la paciencia, o te decides a quitar el malware manualmente… para dejar la web como estaba, pero limpita.

Si eliges lo segundo puedes intentar 2 técnicas,  comencemos con la mas facil:

Explicaré el procedimiento sobre la estructura de WordPress ya que es el cms más infectado con este malware

Técnica de recuperación XML de los contenidos.

En todos los casos, actualiza la versión de WP y todos los plugins en uso…. pero están infectados.. no importa ya veras porque conviene hacerlo (recuerdalo *).

La parte más engorrosa de este método es quitar desde el escritorio de WordPress, las páginas, entradas y categorías en japonés que se han creado.

Una vez que lo hayas hecho, también desde el escritorio, accedes a Herramientas -> Exportar

No elijas exportar todo el contenido porque solo necesitas contenidos puntuales, y es mas difícil trabajar con un solo archivo de exportación, en cambio vamos a utilizar archivos por cada sección que necesitemos recuperar.

Entonces bajas el archivo de las entradas, de todos los autores y todas las categorías, todos los estados y todas las fechas

Lo propio con las páginas también de todos los autores y de todas las fechas y estados

Esos contenidos deberían estar limpios, ya que es poco probable que el malware se transfiera en cada archivo XML de exportación. Por ultimo guarda el archivo wp-config.php (tiene los datos de la bd) y la carpeta con las imágenes (normalmente  /uploads/ )

A esta altura ya tienes los contenidos a resguardo, ahora te toca borrar la base de datos desde Phpmyadmin en el servidor, y todo lo que encuentres en el directorio raiz… si todo !!

Luego instalas una versión limpia de la plataforma, tema y plugins, e importas el archivo XML. Seguramente te pedirá que instales el Importador de WordPress, ya que esté no viene por defecto en la plataforma

Si todo sale correctamente, tal vez encuentres algunos detalles menores de maquetado, pero el sitio volverá a estar operativo y sin malware

Técnica de restauración completa

Claro que tal vez eres obsesivo y lo tomas como un desafío personal, entonces quieres recuperar tu web, tal cual estaba antes del ataque, mismos estilos y maquetado del theme.

Mediante FTP, bajas el sitio completo a tu PC incluyendo el archivo sql de la base de datos, con el objetivo de trabajar offline

Una vez que tengas todos los archivos de tu sitio en una carpeta de tu disco rígido, debes identificar 3 grupos:

  • Núcleo de WordPress
  • Plugins
  • Tema o plantilla

Núcleo

Baja la misma versión de WP, que previamente has actualizado, y reemplazas la que tienes en uso.

Plugins:

Con la misma operatoria anterior, bajas los plugins originales en su correspondientes versiones y reemplazas los existentes.

Si antes no hubieras hecho la actualización tanto de de WP como Plugins como te recomendé (lo recordaste*), ahora estarías en la engorrosa tarea de buscar versiones anteriores 😉

Tema

Aquí es donde puede complicarse, si has tenido la precaución de instalar un tema hijo con las personalizaciones del tema, reemplazas el tema por uno sano desde el repositorio de WP o del creador , y dejas de lado el tema hijo, para analizarlo.

Por descarte, sólo te quedan para inspeccionar la carpeta del tema hijo y el archivo sql de la base de datos.

Se supone que tienes un antivirus actualizado en tu PC, eso es muy importante porque desde allí puedes haber infectado a tu sitio sin quererlo.

Configura tu antivirus para que no borre los archivos infectados, ni tampoco los limpie, ya que quedan inutilizables para su función original. Sólo quieres saber cuáles son y en el estado que se encuentren.

Ya te expliqué anteriormente cómo se crea un propietario fantasma de search console modificando .htaccess. Lo más probable es que, utilizando la misma técnica, haya más líneas sospechosas en ese archivo, e incluso pueden existir varios .htaccess infectados en diferentes carpetas de directorio raíz.

Por cuestiones de seguridad muchos servidores mantienen ocultos los archivos .htaccess,  debes configurar tu cliente FTP o el administrador de archivos del panel de control, para que muestre todos los archivos ocultos, ya que puede haber archivos php maliciosos, ajenos a la plataforma, pero al no verlos, corres el riesgo de dejar un agujero backdoor para

Qué debo Buscar en los archivos infectados?

El código pirata suele comenzar llamando a funciones PHP como base64_decode, rot13, eval, strrev, gzinflate. Tómate tu tiempo para buscar esas funciones entre las líneas de código de los archivos, mediante un editor de texto plano con búsqueda por lotes, Notepad++ es una buena opción

Te puede complicar la búsqueda porque hay algunos plugins y temas que también usan esas funciones, y si  las quitas puedes terminar arruinando la funcionamiento la plataforma. Si conoces medianamente el código php, cuyos caracteres son fácilmente identificables, te facilitará identificar bloques de códigos como éste:

$ O_O0O_O0_0 = urldecode ( "% 6E1% 7A% 62% 2F% 6D% 615% 5C% 76% 740% 6928% 2D% 70  % 78% 75% 71% 79% 2A6% 6C% 72% 6B% 64% 679 % 5F% 65% 68% 63% 73% 77% 6F4% 2B% 6,637% 6A" );

Nadie dijo que sería fácil, todo este proceso es muy engorroso y suele llevar horas, pero es el costo de volver a tener el sitio tal cual estaba antes de la infección

Como prevenir ataques

  • Mantener actualizada la plataforma del CMS a las últimas versiones lo mismo con plugins y componentes del sistema.
  • Hacer análisis periódicos de tu computadora local con un antivirus actualizado.
  • Cambiar periódicamente las contraseñas de acceso, tanto a WordPress como al panel de control del servidor.
  • Utilizar 2FA, autenticación de dos factores, contraseñas y captcha, son lo más común. Hay que aclarar que esto no evitará una intrusión, se trata de complicar lo más posible la tarea hacker
  • Instalar plugins de protección y monitoreo del sistema, Sucuri plugin y Wordfence, son excelentes ejemplos
  • Utilizar algún CDN global como Cloudflare, para agilizar la carga del sitio y proteger de cualquier intento de hackeo
Compartir

32 comentarios en “Por que mi web se ve en chino en Google?”

  1. Lamentablemente he sido víctima de este “Hack” el sitio web de mi negocio, uno de los mejores colocados en los buscadores (para mi rama de negocios en mi país) ahora solo espanta clientes con letras en japonés. Por suerte he podido identificar el problema, estaban redirección a tiendas de venta de disparate, ahora debo esperar un par de días que Google indexe y ver si desaparece esto de la búsqueda. De no ser así, la mejor solución es cambiarme de Host y crear el sitio totalmente desde cero. Ojo, me he infectado gracias a una vulnerabilidad en el webmail Horde en Godaddy, ellos se empeñaron en negar el hackeo de mi sitio, cuando les mandé las capturas de pantalla de las letras en Japonés, no supieron decir ni pío.

  2. Hola Carlos
    Me han infectado 6 de mis webs. en una me han puesto 60mil paginas toda de japos. estos fue hace 5 dias. he instalado wordfence, encuentra el malware pero al dia siguiente aparece de nuevo. y tambien restaure una copia de cuando la web estaba sana. me podrias ayudar?

    1. Hola Ingrid

      Wordfence es bueno para la prevención pero no sirve de mucho instalarlo cuando el sitio ya está infectado.
      Tienes un grave problema de seguridad en los 6 sitios, que debes solucionar antes que nada.
      Por esa razón se vuelven a infectar una vez que restauras una copia sana, busca denominadores comunes:
      – Computadores/ordenadores locales con los que accedes habitualmente. Revisarlos con un buen antivirus .
      – Contraseñas de las cuentas de acceso, tanto al servidor como WP. Deben ser mas seguras y diferentes en cada sitio.
      – Servidor, pregunta al administrador por la seguridad y la actividad del sistema.

      Si necesitas ayuda puntual me contactas por privado (whatsapp, mail), y me envias toda la info.

      Salu2

  3. Hola buenas tardes podría ayudarme con ese problema. Mi pagina sale con resultados de búsqueda en japones y retirado esas urls en el google search console pero al día siguiente aparecen mas urls indexadas.
    Limpie todos los archivos maliciosos con wordfence, elimine el archivo .htaccess y cree uno nuevo elimine y subí un nuevo sitemap,
    actualice el wordpress y plugins y el tema, pero aun siguen indexandose esas url japonesas
    que puedo hacer para resolver ese problema?
    gracias.

    1. Hola Jose

      Frecuentemente siguen apareciendo después de haber desinfectado el sitio.
      Para despejar dudas, chequea la caché de esas últimas URLs japonesas que volvieron a aparecer.
      Si las fechas son anteriores a la que limpiaste el malware, no te preocupes… ya desaparecerán.
      Pero si son posteriores, quiere decir que el sitio sigue infectado.

      Si tienes dudas, me contactas por Whatsapp y le echo un vistazo

  4. hola Buena tarde, yo también pase por lo mismo con mi sitio web hice lo que comentas de borrar todo y volver a empezar no he hecho nada toda vía pero si yo busco en Google site:cercaselectrificadasyalarmas.com.mx aparece toda vía en japonés y estos cambios los hice desde diciembre del año pasado espero me puedas asesorar.
    Muchas gracias por tu atención.

    1. Hola Uriel

      Ocurre qué Google guarda una caché de esas páginas aunque no existan, a veces por meses.
      Debes quitarlas manualmente una a una desde GSC. Comprendo que son muchas, pero si observas con detenimiento, todas esas URLs comienzan con números.
      Eso te facilita la tarea eliminándolas por grupos que comiencen por un mismo numero.

      Salu2

  5. Hola, me pasa lo mismo con una web feelwater.es
    Ya tengo todo el WP limpio imagino que google lo acabe autoindexando, pero por si acaso estoy registrando la web en search console, y como pide crear un registro DND TXT para verificar la autorizad, acabo de ver que el dominio en cuestion tiene muchos registros TXT con unas cadenas de texto muy largas sospechosos, puede ser parte del problema? Os dejo una captura https://ibb.co/TmFdb1B
    Gracias, en genera por el contenido, es de mucha utilidad 🙂 Un saludo

    1. Hola San

      Según la memoria caché de Google, hasta el dia de ayer (14/09/2021) tu web seguía infectada, como puedes observar en la captura.
      Cache

      Si no has podido solucionar el problema siguiendo mis consejos, deberias consultar con tu proveedor de hosting y según lo que te responda, borrar todo el sitio del servidor y comenzar de nuevo.

      Salu2

  6. Hola Nicolas
    El malware fue creado para inyectar spam en tu web, y el lugar mas conveniente para el spam es el dominio principal. El sub-dominio es solo la puerta de entrada y contenedor del código maligno.
    El procedimiento sigue siendo el mismo: cambia las claves, borra todo los archivos del servidor ( del dominio y subdominio), restaura copia sana si existe o volver a empezar de cero.

    Salu2

  7. Hola, no sé cuándo has solucionado el problema, pero el día 28 de Marzo según la cache de Google, se volvió a rastrear tu web evidentemente infectada como puedes ver en la captura:
    Cache

  8. Hola, he seguido todas. tus recomendaciones:
    1.- Cambie contraseñas
    2.- Elimine en su totalidad toda la información en mi hosting
    3.- Volvie hacer el sitio nuevo en WP, sin ningún plugins de los anteriores y solo con un nuevo “Elementor”
    4.- A través de GOOGLE SEARCH CONSOLE, ME APARECEIA DE UN ERROR DE PIRATERIA Y GOOGLE YA ME MANDO UN MSN DONDE ME DICE QUE LA RECONSIDERACIÓN FUE APROBADA Y EL LOS BUSCADORES YA NO ME APARECE LA LEYENDA DE “SITIO POSIBLEMENTE PIRATEADO”, PERO AÚN SIGUE APARECIENDO LA LETRAS EN JAPONES
    5.- EN GOOGLE SEARCH CONSOLE AL MOMENTO DE AÑADIR PROPIEDAD Y TECLEO MI DOMINIO ME APARECE QUE EL URL CANÓNICO ES https://smartideasgroup.mx/ en vez de http://smartideasgroup.mx/
    6.- tambien ya verifique con google que soy el propietario del dominio insertando un archivo html en mi hosting para que google validara. Y EFECTIVAMENTE HABIA UN CORREO DE PRINCIPIOS DE AÑO DEL SUPUESTO HACKER EL CUAL YA LO ELIMINE EN GOOGLE SEARCH CONSOLE AL AUTENTICAR QUE SOY EL PROPIETARIO.
    7. POR ULTIMO YA SOLICITE A GOOGLE QUE INDEXE MI DIMINIO CORRECTO

    POR TODO LO ANTERIOR REQUIERO TUS RECOMENDACIÓN QUE MÁS PUEDO HACER PARA ELIMINAR LAS LETRAS EN JAPONES EN LOS BUSCADORES

    1. Hola Alejandra

      Lamento lo que te ha ocurrido, en este tipo de situaciones lo primero que debes hacer es cambiar contraseñas de acceso a tus cuentas WordPress, servidor y Search console.
      Sigue los pasos detallados en el artículo y si algo no te queda claro, contacta conmigo por email o whatsapp y tratare de ayudarte.

      Salu2

  9. Hola Maria Haydee
    El problema no está en tus equipos, está en el sitio alojado en el hosting que pagas anualmente.
    Para solucionarlo debes tener conocimientos sobre cómo funciona tu web.
    Contacta conmigo por mail o whatsapp y tratare de ayudarte.
    Salu2

    1. Hola , a mí también me pasa igual , borre absolutamente todo del servidor y restaure una copia de seguridad un tanto vieja pero limpia de malware , ha pasado más de un mes y me siguen saliendo , eso sí ya redireccionan a mí página , pero me gustaría eliminar del todo esas engorrosas letras japonesas , intenté quitar el link de las búsquedas de Google y no me dejó , dice que no soy el dueño de dicho dominio web , si me pudieras ayudar agradecido de por vida

      1. Hola Sergio

        Tu sitio web aun sigue infectado o se ha vuelto a infectar, según veo.
        La última caché en japones almacenada en Google es del dia de hoy (21/10/2020)
        Si restauraste una versión sana sin haber cambiado antes todas las contraseñas de acceso, no sirve de nada.
        Intentalo nuevamente, sino me escribes por privado y me cuentas los pasos que seguiste.

        Salu2

  10. Hola Leandro, debes tener paciencia a que Gooogle actualice la caché de tu sitio.
    Te envié instrucciones alternativas a tu correo, luego me cuentas como te fue.

    Salu2

  11. Hola Denisse

    Envia un mensaje mediante el formulario de contacto, describiendo cuales fueron las acciones que has tomado oportunamente para solucionar el problema:
    Por ejemplo, si has restaurado una copia de seguridad del sitio, o has instalado algún plugin de seguridad.
    Espero tu respuesta, para poder ayudarte

    Saludos

    1. Tu web era de tarot, verdad? no veo que estén presentes caracteres orientales en los resultados del buscador.
      Al no tener base de datos ni frontend, puedes analizar tus páginas con un antivirus actualizad en tu pc.
      Preventivamente cambia las claves de acceso a tu servidor periódicamente. Si Search console no te indica nada, creo que no deberias preocuparte.

      Salu2

Los comentarios están cerrados.