Por que mi web se ve en chino en Google?

No es chino sino japones, y no lo muestra así por capricho, sucede que tu web ha sido comprometida, alguien (persona o robot), ha tenido acceso a tu servidor, y seguramente también ha intentado quitarte la propiedad en Search console… si no lo ha hecho ya.

Hackeado por Japanese Keyword Spam

También conocido por el acrónimo JKS, este malware ha afectado a millones de sitios, pero no te desesperes…. Lo primero que deberás hacer, es cambiar todas las contraseñas… me refiero al servidor, base de datos, CMS, email del dominio y de tu cuenta de Google… si, TODAS. Recuerda que las contraseñas deben tener por lo menos 12 caracteres, entre mayúsculas, minúsculas, números y símbolos

Este tipo de intrusión no tiene advertencia en Search console hasta que ya es muy tarde… como ahora. El software malicioso crea nuevas URLs con texto autogenerado en japonés y con nombres de directorios al azar.

Esas páginas están monetizadas mediante enlaces a programas de afiliados, por eso la necesidad del hacker de hacerse de la propiedad del sitio Search console para cambiar la segmentación internacional y presentar nuevos sitemap para facilitar la indexación de las nuevas URLs

Como se soluciona?

Por lo general soy partidario de borrar todo el directorio raíz y empezar de nuevo con una copia sana, pero ¿Tienes copia de respaldo actualizada de tu sitio?… Seguramente no, como la mayoría de los webmasters… ojo, me incluyo.

Entonces debes elegir entre volver a instalar todo el sitio desde cero, perdiendo desde las posiciones en el buscador hasta la paciencia, o te decides a quitar el malware manualmente… para dejar la web como estaba, pero limpita.

Si eliges lo segundo puedes intentar 2 técnicas,  comencemos con la mas facil:

Explicaré el procedimiento sobre la estructura de WordPress ya que es el cms más infectado con este malware

Técnica de recuperación XML de los contenidos.

En todos los casos, actualiza la versión de WP y todos los plugins en uso…. pero están infectados.. no importa ya veras porque conviene hacerlo (recuerdalo *).

La parte más engorrosa de este método es quitar desde el escritorio de WordPress, las páginas, entradas y categorías en japonés que se han creado.

Una vez que lo hayas hecho, también desde el escritorio, accedes a Herramientas -> Exportar

No elijas exportar todo el contenido porque solo necesitas contenidos puntuales, y es mas difícil trabajar con un solo archivo de exportación, en cambio vamos a utilizar archivos por cada sección que necesitemos recuperar.

Entonces bajas el archivo de las entradas, de todos los autores y todas las categorías, todos los estados y todas las fechas

Lo propio con las páginas también de todos los autores y de todas las fechas y estados

Esos contenidos deberían estar limpios, ya que es poco probable que el malware se transfiera en cada archivo XML de exportación. Por ultimo guarda el archivo wp-config.php (tiene los datos de la bd) y la carpeta con las imágenes (normalmente  /uploads/ )

A esta altura ya tienes los contenidos a resguardo, ahora te toca borrar la base de datos desde Phpmyadmin en el servidor, y todo lo que encuentres en el directorio raiz… si todo !!

Luego instalas una versión limpia de la plataforma, tema y plugins, e importas el archivo XML. Seguramente te pedirá que instales el Importador de WordPress, ya que esté no viene por defecto en la plataforma

Si todo sale correctamente, tal vez encuentres algunos detalles menores de maquetado, pero el sitio volverá a estar operativo y sin malware

Técnica de restauración completa

Claro que tal vez eres obsesivo y lo tomas como un desafío personal, entonces quieres recuperar tu web, tal cual estaba antes del ataque, mismos estilos y maquetado del theme.

Mediante FTP, bajas el sitio completo a tu PC incluyendo el archivo sql de la base de datos, con el objetivo de trabajar offline

Una vez que tengas todos los archivos de tu sitio en una carpeta de tu disco rígido, debes identificar 3 grupos:

• Núcleo de WordPress
• Plugins
• Tema o plantilla

Núcleo

Baja la misma versión de WP, que previamente has actualizado, y reemplazas la que tienes en uso.

Plugins:

Con la misma operatoria anterior, bajas los plugins originales en su correspondientes versiones y reemplazas los existentes.

Si antes no hubieras hecho la actualización tanto de de WP como Plugins como te recomendé (lo recordaste*), ahora estarías en la engorrosa tarea de buscar versiones anteriores 😉

Tema

Aquí es donde puede complicarse, si has tenido la precaución de instalar un tema hijo con las personalizaciones del tema, reemplazas el tema por uno sano desde el repositorio de WP o del creador , y dejas de lado el tema hijo, para analizarlo.

Por descarte, sólo te quedan para inspeccionar la carpeta del tema hijo y el archivo sql de la base de datos.

Se supone que tienes un antivirus actualizado en tu PC, eso es muy importante porque desde allí puedes haber infectado a tu sitio sin quererlo.

Configura tu antivirus para que no borre los archivos infectados, ni tampoco los limpie, ya que quedan inutilizables para su función original. Sólo quieres saber cuáles son y en el estado que se encuentren.

Ya te expliqué anteriormente cómo se crea un propietario fantasma de search console modificando .htaccess. Lo más probable es que, utilizando la misma técnica, haya más líneas sospechosas en ese archivo, e incluso pueden existir varios .htaccess infectados en diferentes carpetas de directorio raíz.

Por cuestiones de seguridad muchos servidores mantienen ocultos los archivos .htaccess,  debes configurar tu cliente FTP o el administrador de archivos del panel de control, para que muestre todos los archivos ocultos, ya que puede haber archivos php maliciosos, ajenos a la plataforma, pero al no verlos, corres el riesgo de dejar un agujero backdoor para

Qué debo Buscar en los archivos infectados?

El código pirata suele comenzar llamando a funciones PHP como base64_decode, rot13, eval, strrev, gzinflate. Tómate tu tiempo para buscar esas funciones entre las líneas de código de los archivos, mediante un editor de texto plano con búsqueda por lotes, Notepad++ es una buena opción

Te puede complicar la búsqueda porque hay algunos plugins y temas que también usan esas funciones, y si  las quitas puedes terminar arruinando la funcionamiento la plataforma. Si conoces medianamente el código php, cuyos caracteres son fácilmente identificables, te facilitará identificar bloques de códigos como éste:

$ O_O0O_O0_0 = urldecode ( "% 6E1% 7A% 62% 2F% 6D% 615% 5C% 76% 740% 6928% 2D% 70  % 78% 75% 71% 79% 2A6% 6C% 72% 6B% 64% 679 % 5F% 65% 68% 63% 73% 77% 6F4% 2B% 6,637% 6A" );

Nadie dijo que sería fácil, todo este proceso es muy engorroso y suele llevar horas, pero es el costo de volver a tener el sitio tal cual estaba antes de la infección

Como prevenir ataques

• Mantener actualizada la plataforma del CMS a las últimas versiones lo mismo con plugins y componentes del sistema.
• Hacer análisis periódicos de tu computadora local con un antivirus actualizado.
• Cambiar periódicamente las contraseñas de acceso, tanto a WordPress como al panel de control del servidor.
• Utilizar 2FA, autenticación de dos factores, contraseñas y captcha, son lo más común. Hay que aclarar que esto no evitará una intrusión, se trata de complicar lo más posible la tarea hacker
• Instalar plugins de protección y monitoreo del sistema, Sucuri plugin y Wordfence, son excelentes ejemplos
• Utilizar algún CDN global como Cloudflare, para agilizar la carga del sitio y proteger de cualquier intento de hackeo