¿Estabas frikeando a través del comando site: en Google y te has encontrado que muchas de las páginas del dominio que analizas tienen títulos y metas que nada tienen que ver con el sitio web que analizabas?
¿Tienes una web y de repente accedes y el contenido que ves nada tiene que ver con el tuyo?
Si te has sentido identificado con alguna de las preguntas anteriores, estás delante de una web infectada, y si te estás preguntando por qué sucede y cómo desinfectarla, sigue leyendo porque hoy os traemos el misterioso caso de la web con 2.000.000 millones de URLs infectadas. Sí, sí, has leído bien: 2 millones. ¿Y sabes lo mejor? El sitio original no supera las 100 URLs, ¡casi nada!
Nuestro objetivo con este artículo es hacer pedagogía de la importancia de tener un sitio web seguro así como de las consecuencias para el SEO y tu negocio de no tenerlo.
¡Allá vamos!
Tabla de Contenidos
¿Por qué se infectan las webs?
Para responder a la pregunta no hay una única respuesta válida, pero por nuestra experiencia, aquí te dejamos los tres principales motivos:
-
- Falta de actualización de plugins, programario o CMS: si utilizas WordPress o cualquiera de los CMS más habituales, sabrás que son de código abierto y esto implica que van lanzando actualizaciones con el tiempo. En muchas ocasiones éstas, por desconocimiento o miedo, se olvidan, y ahí tienes una gran puerta abierta a cualquier infección.
- Contraseñas inseguras: otro clásico es no disponer de contraseñas fuertes. Ya sabes, lo típico de ponerte una contraseña recordable para acceder al sitio y…¡error! Cualquier ataque de fuerza bruta que combine distintos caracteres y combinaciones puede descubrirla fácilmente y vulnerar el sitio.
- Inseguridad en el servidor: ¿suena raro, verdad? En muchas ocasiones desde el servidor donde alojas el sitio web no se han establecido unas configuraciones de seguridad correctas, como no tener la versión PHP actualizada, y ello puede facilitar que los sitios alojados sean vulnerables. Revisarlo y contar con ayuda profesional (como la nuestra) te ahorrará más de un disgusto.
Como ves, estas son 3 pero te aseguro que hay muchas más.
Al lío, acompáñanos en esta fascinante historia y descubre cómo lo hemos resuelto paso a paso.
La web de las 2 millones de URLs infectadas
Como en muchas situaciones en esta vida, todo empezó con una llamada de nuestro cliente que desconocía el porqué pero no reconocía en absoluto su web. Nos alertaba de que al entrar se redirigía a un ecommerce de productos asiáticos. Al acceder, nos dimos cuenta de que se trataba de un clásico japanese keyword hack, es común y hasta Google tiene documentación hablando sobre ello. En su caso, nos explicó que por desconocimiento su sitio web no tenía ningún mantenimiento y, tras muchos meses sin actualizarse, se convirtió en la diana perfecta para ser infectada.
Aunque en este caso fue la infección japonesa, también existen otro tipo de infecciones que envían a páginas de juegos de azar, productos farmacéuticos, contenido para adultos, etc. Al final, el objetivo de estas infecciones es el de mandar tráfico a páginas afiliadas y así monetizar.
Seguimos analizando y accedimos a Search Console, y ahí sí que nos saltaron los ojos cuando vimos las más de 2 millones de URLs infectadas. ¡Menudo brownie!
Consecuencias para el SEO y la reputación del negocio
En primer lugar, la consecuencia de sufrir una infección de este tipo es la pérdida del posicionamiento debido a la generación de miles de páginas que nada tienen que ver con tu negocio y hacen que tu contenido original quede diluido. Esto, como te imaginas, provoca que posicionen palabras clave irrelevantes que inundan de puro spam tus resultados de búsqueda y que tu estrategia SEO, que tanto tiempo te ha costado desarrollar, se vaya al traste.
En segundo lugar, y como consecuencia de la primera, la imagen que se lleva el usuario de nuestra web es nefasta. Imagínate que has trabajado ferozmente la reputación de tu marca durante muchos años para que al final, tu web, acabe siendo un lugar donde se promocionan productos farmacéuticos de dudosa reputación, casinos o mucho peor, contenido para adultos. En fin…
Y finalmente, si el problema persiste, Google puede marcarlo como inseguro y directamente crear una página de advertencia antes que el usuario acceda. Y si el problema persiste en el tiempo, puede penalizar el dominio y desindexarlo. Peor imposible.
¿Cómo lo solucionamos?
Vayamos paso a paso
Limpiar el servidor
En primer lugar nos aseguramos de que no quedaba ningún código malicioso en el servidor y de que el htaccess estaba limpio. Para ello realizamos un análisis exhaustivo de los archivos que se habían vulnerado. Aquí es importante contar con ayuda profesional (guiño, guiño) porque, de no hacerlo bien, lo más probable es que la infección se siga replicando y tengas el mismo problema.
La desinfección del código debe ir acompañada de una actualización del programario, plugins, temas, etc., así como de la creación de usuarios y contraseñas fuertes para evitar ser hackeados de nuevo.
Entrar en Search Console
Comprobar qué usuarios tienen acceso a la cuenta
Con el servidor limpio, entramos en Search Console y comprobamos que no hubiera ningún usuario con acceso que no conociéramos. Es posible que, tras el hackeo sufrido, alguien desconocido tuviera acceso. Si te sucede, compruébalo y si alguien no debe estar ahí, elimínalo.
Analizar y eliminar las urls infectadas
Aquí viene lo bueno, toca meter las manos en la masa y ver qué páginas se han generado con la infección. Para ello, vamos a la sección “páginas” y en “ver datos sobre páginas indexadas” accedemos a las páginas que Google ha indexado. Lo más probable es que a simple vista seas capaz de ver que hay páginas con caracteres extraños o palabras en las URLs que nada tienen que ver con tu contenido.
En este punto es importante remarcar que hay que diferenciar entre páginas indexadas y páginas sin indexar. Las primeras son las que Google ha incorporado a su índice, mientras que las segundas las ha rastreado o descubierto pero todavía no las ha indexado.
Si “has tenido suerte” y la infección está dentro de un subdirectorio, por ejemplo www.tudominio.com/dfsafas/pagina-con-infeccion será más sencillo pedir la retirada de esas urls ya que Search Console nos da la opción de “retirar todas las URLs que tengan ese prefijo”.
Pero si te ha tocado la lotería y son páginas infectadas desde la raíz, es decir: www.tudominio.com/pagina-con-infeccion, tendrás que ir una a una en la herramienta de solicitud de retirada de URLs. Es un palizón, lo sé, pero es la forma más rápida de solicitar a Google que retire “temporalmente” la página de su índice. Ojo, insisto, “temporalmente”, si no has realizado bien la limpieza del servidor puede que sirva de poco. El objetivo de esa limpieza es eliminar el contenido malicioso, evitando que se sigan generando páginas, y convertir todas esas URLs en páginas 404.
Crear un patrón de las palabras más comunes que aparecen en las urls infectadas y una expresión regular para añadirla al htaccess
En muchas ocasiones el trabajo de desinfección acabaría en el anterior punto, pero os recomiendo que, como hacemos nosotros, analicéis qué patrón de palabras siguen las urls infectadas y con ellas, crear una expresión regular para añadirla al htaccess. Si te ha sonado muy mal, no te preocupes, que prefiero ilustrártelo.
Siguiendo con nuestra historia, facilitamos una muestra de las URLs a ChatGPT y le pedimos que analizara el patrón que seguía, respondiéndonos lo siguiente:
(花凛堂|耳9|クリスマスイビル|花りんガーデンカフェ|中国料理 花凜|マクドナルド しましま キャラクター|しましま キャラクター|桜桃子|溶岩石 鉢)
Supuestamente, estos términos están relacionados con productos y marcas del ecommerce al cual redirigían las páginas infectadas.
El siguiente paso fue crear una expresión regular que añadimos al htaccess con el objetivo de indicar a los motores de búsqueda que las URLs que contengan esos términos devuelvan un código 410. Éste indica que la página no existe y está borrada de forma permanente, lo cual ayudará a Google a entender que debe desindexarla y así agilizará el proceso.
RewriteEngine On
# Devolver un 410 Gone para URLs que contienen términos específicos
RewriteCond %{REQUEST_URI} (花凛堂|耳9|クリスマスイビル|花りんガーデンカフェ|中国料理[[:space:]]花凜|マクドナルド[[:space:]]しましま[[:space:]]キャラクター|しましま[[:space:]]キャラクター|桜桃子|溶岩石[[:space:]]鉢) [NC]
RewriteRule .* – [G]
Subir de nuevo el sitemap
Pasamos a subir de nuevo el mapa del sitio. En mi humilde opinión, te recomiendo que borres los anteriores y lo subas de nuevo. Ello ayudará a que Google rastree de nuevo tu sitio y entienda qué URLs existen y cuáles no. Para hacerlo, ve a la sección “sitemaps” en Search Console y pega la url para enviarlo.
Seguimiento del proceso de desindexación
Una vez realizados los pasos anteriores, es momento de realizar el seguimiento. Te recomiendo que tengas paciencia, porque no suele ser inmediato, pero es un proceso gradual y a la vez muy satisfactorio.
En nuestro caso, como verás en las imágenes, en menos de 2 semanas se desindexaron 41.000 páginas.
También puede darse el caso de que, tras los pasos para desinfectar el sitio, sigan apareciendo como indexadas pero no sean visibles. En este caso, tampoco hay que asustarse; pueden tardar meses en desaparecer. El mismo John Mueller de Google, ya lo explica.
Conclusiones
Nuestra historia termina con un final feliz: la experiencia de enfrentarse a más de 2 millones de URLs infectadas en un sitio que originalmente contaba con menos de 100 páginas indexadas fue, sin duda, una lección sobre la importancia de la seguridad y el mantenimiento web pero también para salvaguardar todo nuestro trabajo SEO y la reputación del negocio.
Como habrás visto, dejar a la intemperie la seguridad es un riesgo innecesario al que no hace falta exponerse.