El hack coreano de los casinos que hace spam en las búsquedas en WordPress

Hace unos días, la empresa de seguridad Sucuri hacía mención en su blog de un hack que ha afectado a cientas de webs. En algunos casos, las páginas han sido infectadas con malware que redirige a casinos y otras páginas, pero solamente a los usuarios de la web que proceden de Corea. Pero el caso del que voy a hablar es de las páginas que no están infectadas, pero que sí son víctimas colaterales del spam que usa las búsquedas internas.

¿Cómo funciona esa técnica de spam?

Los hackers han creado en las páginas infectadas miles de enlaces falsos hacia páginas seguras, que apuntan a resultados de búsqueda que no existen.

¿Por qué lo hacen si los enlaces solo devuelven una página de error?

Por visibilidad. Porque aunque sean páginas sin contenido, Google las indexa. Como esas búsquedas incluyen palabras claves y nombres de páginas webs que quieren dar a conocer, han conseguido que de repente aparezcan millones de entradas.

No solo afecta a páginas con WordPress, sino también a páginas que permiten la búsqueda interna, algo muy extendido.

¿Por qué las indexa Google?

La verdad es que no soy un experto en SEO, y por lo tanto no tengo claro por qué motivo Google sigue esos enlaces para indexarlos cuando en realidad llevan a un error 404. El caso es que funciona, y que filtrando por solo uno de las webs que promocionan los hackers, Sucuri ha encontrado 70 millones de resultados en Google.

¿Cómo saber si te ha afectado?

En España, hay muchas páginas presumiblemente no infectadas, es decir que no han sido hackeadas, pero que sí son afectadas por el spam de búsquedas falsas. Para saber si tu página está bien, puedes hacer dos cosas:

  • Entrar en la Consola de Google (antigua Webmaster Tool) y mirar si tienes miles de páginas indexadas que no deberían estar allí.
  • Hacer una simple búsqueda en Google con “site:aquiponestuweb.com casino”. Si ves aparecer resultados con una pinta muy rara (caracteres en coreano), puede que seas de los afectados. La estructura de los resultados de spam es tuweb.com/?s=COSASRARASENCOREANO. En la imagen del artículo tienes unos ejemplos.

spam coreano resultados google wordpress

¿Qué impacto para tu página?

Aunque no siempre supone un problema de seguridad para tu página web o blog, ese spam representa una complicación importante para tu posicionamiento. Si de repente Google indexa miles de páginas de baja calidad, como es el caso, es posible que acabe considerando que tu web ya no es tan buena, y por lo tanto se merece bajar unos puestos en los resultados de búsqueda. Y ya sabes lo que implica en términos de tráfico, visitas y ventas.

Y es posible que no te des cuenta, porque si no entras en la Console de Google no es algo muy visible.

¿Qué medidas puedes tomar?

Para asegurar que tu web está segura, y que no ha sido afectada

No voy a darte el detalle de medidas a tomar si has sido infectado con malware, creo que tu hosting te podrá dar buenas pautas y no es el propósito del artículo de hoy. Quiero hablar del spam de los casinos coreanos que usa la búsqueda de WordPress, no de como limpiar una web infectada. Pero básicamente te tocará limpiar la base de datos, actualizar a las últimas versiones, cambiar todas las claves de acceso y poner medidas de seguridad mejores.

Para que Google deje de indexar las páginas de spam

Este es un problema más complejo, porque no tienes control sobre los enlaces entrantes hacia tu web. Pero aun así puedes tomar algunas medidas.

Medidas inmediatas y fáciles:

  • Usar un plugin que no indexa los resultados de búsqueda de tu WordPress, como Yoast.
  • Indicar en tu archivo robots.txt que no quieres que Google indexe esos resultados de búsqueda:

User-agent: *
Disallow: /?s=*

Pero esas dos medidas no serán muy efectivas, porque, recordémoslo, Google no está indexando resultados reales de tu web, sino enlaces entrantes. En concreto, nadie está haciendo esas búsquedas (queries) en tu web, sino que el hack manda esos enlaces de búsqueda a Google desde las páginas con malware.

Medidas para usuarios avanzados

  • Otro paso que puedes dar es entrar en Google Console y decirle al buscador que elimine todas las URL que empiezan por tuweb.com/?s=. Lo puedes hacer aquí. Ten mucho cuidado con lo que hagas, que si te equivocas puedes borrar del índex de Google páginas reales tuyas. Así que pide consejo y/o infórmate bien.

El problema de este paso, es que solo es válido por 90 días. La lógica de Google es que no deberías tener páginas que no tienen que indexarse. Para eso tienes las instrucciones de “no index” en tu web. Tienen la herramienta de borrado provisional por si cambiaste la estructura de tu web y quieres que Google deje de tomar en cuenta lo antiguo. Pero suponen que después de 3 meses ya habrán indexado lo resultados correctos. Así que 90 días después, puede que vuelva el spam.

  • También puedes usar los parámetros de rastreo de Google, para indicarle que no quieres que todas las variaciones entorno a un parámetro se indexen, sino una sola versión. Lo puedes hacer aquí. De nuevo, mucho cuidado con eso, que un error podría hacer que no se vieran en Google páginas importantes para ti.

¿Cómo recuperar posiciones en Google?

Este hack coreano lleva unos meses funcionando, por lo que algunas páginas afectadas por el spam de las búsquedas internas pueden haber ido perdiendo posiciones en Google. Pero si te concentras en crear grandes contenidos y seguir algunas recomendaciones de SEO, podrás recuperar el terreno perdido, incluso llegar a tener bastante más tráfico. Hay mucha competencia, pero no todas las páginas web se preocupan mucho por el SEO en el día a día, y si tienes constancia, puedes competir con ventaja.

Artículos relacionados:

¡Compartir es vivir!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *