Cómo eliminar el pirateo japonés de palabras clave de tu sitio web y recuperar el SEO

Puntos clave

• La eliminación manual del malware requiere eliminar los scripts ocultos de los archivos principales, pero un solo error puede romper tu sitio o pasar por alto las puertas traseras ocultas por completo.
• Los plugins de seguridad son más seguros que la edición manual, pero consumen recursos del servidor y no pueden ayudarte si el pirateo te bloquea el acceso a tu panel wp-admin.
• Automatiza toda la limpieza a nivel de servidor con Cloudways Malware Protection para eliminar al instante las amenazas por sólo 4 $/mes por aplicación.

Un pirateo japonés de palabras clave sustituye los listados de tu motor de búsqueda por texto spam extranjero. Como resultado, tu tráfico orgánico disminuye porque los usuarios ven un galimatías en lugar de tu contenido real, y Google empieza a clasificarte por palabras clave spam en lugar de por los términos reales de tu negocio.

Manejar un hackeo japonés de palabras clave es una parte crítica de la estrategia global de seguridad de tu sitio web. Para solucionarlo permanentemente y restablecer tu tráfico, debes averiguar exactamente cómo eludieron los atacantes tus defensas y dónde escondieron su código malicioso.

En esta guía, te explicamos cómo funciona este hack y te ofrecemos dos formas de solucionarlo: una limpieza manual paso a paso y un proceso de eliminación automatizado mediante Cloudways Malware Protection.

¿Qué es el pirateo japonés de palabras clave?

El hackeo japonés de palabras clave es una técnica de spam SEO de sombrero negro dirigida. Los hackers encuentran una vulnerabilidad en tu sitio de WordPress y la utilizan para generar automáticamente miles de páginas ocultas. Estas páginas están llenas de texto en japonés y enlaces de afiliados.

El motivo de este ataque es puramente económico. Los atacantes quieren apropiarse de la reputación establecida de tu dominio en los motores de búsqueda. Utilizan la autoridad de tu sitio para clasificar sus propias páginas de spam y vender productos falsificados, como bolsos o relojes de diseño falsos, en mercados de búsqueda extranjeros.

A diferencia de un hack de redirección de WordPress que envía inmediatamente a tus visitantes humanos a un sitio de spam, el hack japonés de palabras clave utiliza el camuflaje para ocultarse de ti mientras se dirige a los motores de búsqueda.

Si visitas tu página principal normalmente, todo parece estar bien. Pero cuando Google te visita, sus robots ven las páginas de spam inyectadas. Esto hace que la infección sea increíblemente difícil de detectar hasta que el daño a tus rankings de búsqueda ya está hecho.

Arregla automáticamente el pirateo de palabras clave en japonés

La limpieza manual suele pasar por alto las puertas traseras ocultas que hacen que este hack se regenere. Cloudways Malware Protection escanea tu servidor para encontrar y eliminar automáticamente estos scripts maliciosos.

Protégete

¿Cómo infecta tu sitio web el pirateo japonés de palabras clave?

Los atacantes no suelen atacar manualmente tu negocio concreto. Utilizan bots automatizados para escanear la web en busca de debilidades conocidas en la infraestructura de los sitios web. Una vez que encuentran una brecha, inyectan sus scripts de spam. Estos son los puntos de entrada más comunes.

Plugins y temas obsoletos

Los desarrolladores publican actualizaciones para parchear los agujeros de seguridad descubiertos. Si dejas plugins o temas funcionando con versiones antiguas, esas vulnerabilidades sin parchear actúan como una puerta abierta. Los robots aprovechan fácilmente estos fallos conocidos para acceder a tu instalación de WordPress.

Credenciales débiles

Tu página de inicio de sesión wp-admin es un objetivo principal. Los hackers despliegan ataques de fuerza bruta utilizando scripts para adivinar miles de combinaciones de nombre de usuario y contraseña en cuestión de minutos. Sin contraseñas seguras y una limitación de velocidad adecuada, acabarán entrando y haciéndose con el control administrativo.

Permisos de archivo incorrectos

Los permisos de los archivos de tu servidor dictan quién puede leer, escribir o ejecutar datos. Si tus permisos son demasiado laxos, los scripts maliciosos tienen libertad para escribir nuevos archivos directamente en los directorios de tu servidor. Así es exactamente como se generan y almacenan en tu sitio las páginas ocultas de spam japonés.

Signos comunes del pirateo japonés de palabras clave

Como el pirateo japonés de palabras clave se basa en el camuflaje, tu sitio web puede parecer completamente normal para ti y para tus visitantes humanos. Tienes que fijarte en las señales específicas que utilizan los motores de búsqueda para detectar el problema.

Resultados de la búsqueda en Google

La forma más fácil de comprobar si hay una infección es realizar una búsqueda manual del sitio. Ve a Google y escribe site:tudominio.com en la barra de búsqueda. Busca en las páginas indexadas. Si ves caracteres japoneses en los títulos o en las meta descripciones, tu sitio está infectado.

Fuente: support.google.com

Detectar la ocultación

Los piratas informáticos utilizan el camuflaje para ocultar el spam a los propietarios de los sitios. Para ver exactamente lo que ve Google, accede a tu Google Search Console. Pasa una URL sospechosa por la Herramienta de Inspección de URL y visualiza la página rastreada. Si el HTML renderizado muestra spam en lugar de tu contenido real, habrás descubierto la infección oculta.

Usuarios rebeldes de Google Search Console

Los piratas informáticos quieren obligar a Google a indexar rápidamente sus nuevas páginas de spam. Para ello, suelen verificar sus propias cuentas como propietarios en tu Consola de Búsqueda de Google. Comprueba tu configuración de usuarios y permisos y busca cualquier cuenta de Gmail no reconocida añadida como «Propietaria».

Sitemaps modificados

Tu mapa del sitio es una hoja de ruta para los motores de búsqueda. Los atacantes modificarán tu archivo sitemap.xml existente o generarán otros nuevos por completo para incluir miles de sus enlaces de spam. Si observas URL desconocidas en tu mapa del sitio, debes escanear tu sitio web inmediatamente en busca de malware.

Cómo encontrar y eliminar el hack manualmente

Limpiar a mano un servidor infectado es muy técnico y conlleva un riesgo importante. Tienes que localizar y eliminar el código malicioso sin romper el núcleo de tu aplicación.

La eliminación manual del malware de WordPress requiere extrema precaución. Eliminar la línea de código equivocada puede romper tu sitio por completo.

Paso 1: Haz una copia de seguridad completa

Nunca edites los archivos del servidor sin guardar antes una copia de seguridad. Si borras un archivo crítico del núcleo por accidente, tu sitio se bloqueará. Antes de tocar ningún código, debes guardar una copia de todo.

• Descarga tus archivos: Descarga un programa FTP gratuito como FileZilla. Introduce la dirección IP de tu servidor, el nombre de usuario y la contraseña para conectarte. Busca tu carpeta public_html (el directorio raíz de tu web) y arrastra toda la carpeta a tu ordenador local.

• Exporta tu base de datos: Accede al panel de control de tu alojamiento, abre phpMyAdmin, selecciona tu base de datos de WordPress y haz clic en la pestaña Exportar para descargar una copia.

• Para usuarios de Cloudways: Puedes saltarte los pasos manuales del FTP y la base de datos. Sólo tienes que acceder a tu cuenta, ir a Gestión de aplicaciones, seleccionar tu sitio web infectado, hacer clic en Copia de seguridad y restauración y pulsar el botón«Hacer copia de seguridad ahora«.

Paso 2: Elimina los Propietarios Rogue GSC

Tienes que impedir que el atacante obligue a Google a indexar su spam. Si no lo haces ahora, mañana enviarán nuevos sitemaps de spam y volverás a estar como al principio.

• Entra en Google Search Console y selecciona tu propiedad.
• Haz clic en Configuración en la parte inferior izquierda y, a continuación, selecciona Usuarios y permisos.

• Mira la lista de propietarios. Si ves una dirección de correo electrónico que no reconoces, haz clic en los tres puntos junto a su nombre y selecciona Eliminar acceso.

• Estate atento a una notificación de advertencia. Google te avisará si el usuario puede recuperar el acceso utilizando un token de propiedad existente.
• Encuentra el token específico. Puedes hacer clic en«Tokens de propiedad no utilizados» en la página Usuarios y permisos para ver exactamente qué utilizó el hacker para verificar su cuenta.

• Elimina el token de tu sitio. Si es un archivo HTML, utiliza FileZilla para encontrar el nombre exacto del archivo en tu directorio raíz y elimínalo. Si es una etiqueta HTML, elimínala del código de cabecera de tu tema.

Paso 3: Comprueba el archivo .htaccess

El archivo .htaccess controla cómo gestiona tu servidor el tráfico entrante. Los piratas informáticos modifican este archivo para que muestre contenido spam específicamente a los robots de los motores de búsqueda mientras muestra tu sitio normal a los visitantes normales.

• Abre FileZilla y conéctate a tu servidor.
• Localiza el archivo .htaccess en tu carpeta raíz y descárgalo para poder editarlo.

• Busca bloques de código diseñados para interceptar motores de búsqueda. Normalmente verás HTTP_USER_AGENT junto a googlebot, bingbot o yandex.
• Justo debajo de esa condición, verás una RewriteRule que redirige el tráfico bot a un dominio extranjero, como el enlace .jp que se muestra en la captura de pantalla siguiente.

• Elimina todo ese bloque de código malicioso. Guarda el archivo y vuelve a subirlo al servidor para restaurar las reglas de enrutamiento predeterminadas de WordPress.

Paso 4: Busca archivos PHP maliciosos

Los atacantes ocultan sus scripts generadores de spam en los directorios de tu servidor. Utilizan intencionadamente nombres de archivo poco llamativos, como wp-options.php, para mezclarse con los archivos principales legítimos y evitar ser detectados.

Debes inspeccionar manualmente estos directorios para localizarlos y eliminarlos.

• Utiliza FileZilla para navegar hasta tu directorio wp-content/uploads. Como se muestra en la captura de pantalla siguiente, esta carpeta está diseñada exclusivamente para almacenar imágenes y archivos multimedia. Si ves un archivo PHP independiente descansando entre tus carpetas de fechas, es altamente sospechoso.

• Haz clic con el botón derecho y visualiza el contenido de cualquier archivo fuera de lugar. Los scripts maliciosos casi siempre están ofuscados para ocultar su verdadero propósito a los escáneres de seguridad.
• Como puedes ver en la siguiente captura de pantalla, si el archivo contiene nombres de funciones entrecortados o largos bloques de texto ilegible y revuelto, elimínalo inmediatamente.

• Repite el mismo tipo de inspección que acabamos de hacer también en tu directorio wp-includes. Busca archivos con nombres que se parezcan a los archivos principales del sistema, pero que parezcan ligeramente distintos, como index-config.php o wp-options.php.

Paso 5: Limpia tu sitemap

Una vez eliminados los archivos maliciosos, tienes que limpiar los enlaces de spam dejados atrás para los motores de búsqueda. Si los dejas en su sitio, Google seguirá intentando rastrear las páginas de spam muertas.

• Si confías en un archivo estático sitemap.xml, ábrelo mediante FileZilla. Como se muestra en la captura de pantalla siguiente, verás caracteres extranjeros evidentes o URL de productos extraños mezclados con las páginas normales de tu sitio. Elimina manualmente esos bloques específicos de <url> y guarda el archivo.

• Si utilizas un plugin SEO como Yoast o RankMath, el proceso es mucho más sencillo. Sólo tienes que ir a la configuración del plugin, desactivar la función de mapa del sitio XML, guardar los cambios y volver a activarla. Esto obliga al plugin a crear automáticamente un mapa del sitio nuevo y limpio.

Los peligros ocultos de la limpieza manual

Aunque sigas todos los pasos que acabamos de describir para eliminar manualmente el hack, es posible que queden amenazas ocultas en tu servidor.

Tu sitio puede parecer limpio durante un breve momento. Pero intentar limpiar manualmente un ataque complejo conlleva riesgos importantes que suelen conducir al fracaso.

Romper tu sitio web en directo

Básicamente, estás operando tu servidor. Borrar el script PHP equivocado o cometer un solo error tipográfico en tu archivo .htaccess bloqueará instantáneamente tu aplicación. Un error desconecta tu sitio por completo, añadiendo tiempo de inactividad a tus problemas SEO existentes.

El bucle de la puerta trasera

Cuando los atacantes comprometieron inicialmente tu sitio, no se limitaron a soltar las páginas de spam. También escondieron un script muy codificado llamado puerta trasera en lo más profundo de un directorio oscuro. Esta entrada secreta les permite volver a entrar sin necesidad de contraseña.

Si limpias la infección visible y cierras la sesión, ese script oculto de puerta trasera se ejecuta silenciosamente en segundo plano. Regenera instantáneamente las reglas de enrutamiento maliciosas y vuelve a crear miles de nuevas páginas japonesas de spam.

Un enfoque mejor

Si no encuentras y destruyes todas y cada una de las puertas traseras, la infección seguirá reapareciendo. Encontrar estos scripts manualmente es casi imposible porque están diseñados para parecer código legítimo de WordPress.

En lugar de arriesgar tu tiempo de actividad y perder horas rebuscando en los archivos, puedes automatizar todo el proceso de limpieza con el complemento Cloudways Malware Protection.

La solución automatizada: Complemento de Protección contra Malware de Cloudways

Encontrar scripts ocultos en los directorios de tu servidor requiere tiempo y conocimientos técnicos. Para simplificar este proceso, hemos integrado el complemento de Protección contra Malware directamente en la plataforma Cloudways.

Desarrollada por Imunify360, esta herramienta escanea a nivel de sistema operativo. Como actúa a esta profundidad, refuerza la seguridad general de tu servidor en lugar de limitarse a comprobar las carpetas estándar de WordPress. Encuentra y elimina la causa raíz desde el lado del servidor, por lo que ni siquiera necesitas acceder a tu panel de WordPress para eliminar la infección.

Así es como el complemento resuelve automáticamente el pirateo de palabras clave en japonés:

• Limpieza automatizada de puertas traseras: En lugar de que adivines qué archivo PHP de tu carpeta de subidas es falso, el sistema escanea todo el entorno de tu servidor. Localiza automáticamente los scripts ofuscados y limpia el código infectado, manteniendo perfectamente intactos los archivos legítimos de tu sitio.
• Protección profunda de la base de datos: El hack de palabras clave japonesas a menudo se esconde dentro de tablas de bases de datos o configura tareas cron maliciosas para regenerar el spam. Nuestro escáner escarba directamente en tu base de datos para eliminar estos activadores ocultos.
• Bloqueo activo de amenazas: Este complemento utiliza la autoprotección de aplicaciones en tiempo de ejecución (RASP) para aislar y eliminar automáticamente las puertas traseras ocultas antes de que puedan ejecutarse. Evita que los scripts maliciosos reescriban tu archivo .htaccess o generen nuevos enlaces de spam en tiempo real.

Cómo activar la limpieza automática

Activar el complemento sólo requiere unos pocos clics. El escaneo inicial se ejecuta completamente en segundo plano, por lo que no afectará al rendimiento de tu sitio web.

Paso 1: Dirígete a Seguridad de las aplicaciones

Accede a tu plataforma Cloudways y selecciona tu aplicación de destino. En el menú de gestión de la izquierda, haz clic en Seguridad de la aplicación.

Paso 2: Activa el Complemento de Protección contra Malware

Selecciona la pestaña Protección contra malware y haz clic en el botón Activar protección. Esto activa instantáneamente la supervisión en tiempo real y desencadena un escaneo exhaustivo y automatizado a través de tus directorios web y tu base de datos para cazar a los generadores de spam.

Paso 3: Comprueba los resultados del escaneo

Una vez que el complemento está activo, puedes supervisar el proceso de limpieza a través de tres sencillas pestañas:

• Malicioso: Enumera las amenazas aisladas. Muestra la ruta exacta del archivo donde se encontró el backdoor y confirma si fue Limpiado, Puesto en cuarentena o Eliminado.
• Historial de escaneos: Revisa un registro completo de todos los escaneos automatizados anteriores o haz clic en«Iniciar escaneo» para activar una comprobación inmediata.
• Defensa Proactiva: Este es tu registro de protección en tiempo de ejecución. Detalla cualquier evento en el que se haya bloqueado la ejecución de scripts PHP maliciosos.

Cómo reconstruir tu SEO y prevenir la reinfección

Una vez que tu servidor esté totalmente libre de malware y puertas traseras, tu trabajo aún no ha terminado del todo. Tienes que reparar el daño causado a tus rankings de búsqueda y cerrar tus puertas para que los atacantes no puedan volver.

Obliga a Google a rastrear tu sitio

Si no haces nada, los caracteres japoneses permanecerán en tus resultados de búsqueda durante semanas hasta que Google vuelva a rastrear tu dominio de forma natural. Necesitas acelerar este proceso.

Ve a Google Search Console e introduce tu página de inicio y las URL mejor clasificadas en la herramienta de inspección de URL de la parte superior del panel. Haz clic en«Solicitar indexación«. Esto obliga a Googlebot a visitar tu sitio limpio y a eliminar las páginas de spam del índice de búsqueda.

Parchea tus vulnerabilidades

Para garantizar una solución permanente, debes abordar la vulnerabilidad original que permitió el acceso a los atacantes. Empieza por eliminar todos los temas o plugins inactivos que residan en tu servidor, ya que el software no utilizado constituye un importante lastre para la seguridad.

A continuación, debes realizar una actualización completa de tu núcleo de WordPress, de todos los plugins activos y de tu tema.

Si te preocupa que la ejecución de una actualización importante pueda romper el diseño de tu sitio, puedes automatizar todo el proceso utilizando Cloudways SafeUpdates.

SafeUpdates toma una copia de seguridad, comprueba las actualizaciones en segundo plano para asegurarse de que tu sitio tiene exactamente el mismo aspecto, y luego las aplica a tu aplicación activa. Mantiene tu software actualizado y cierra las vulnerabilidades que aprovechan los bots sin necesidad de que compruebes manualmente cada plugin.

Bloquea los robots automatizados con un WAF

El hack japonés de palabras clave se propaga mediante bots automatizados que escanean constantemente Internet en busca de plugins obsoletos y contraseñas débiles. La forma más eficaz de evitar la reinfección es bloquear estos bots maliciosos para que nunca lleguen a tu entorno WordPress.

La activación de Cloudflare Enterprise en tu cuenta de Cloudways añade un cortafuegos de aplicaciones web (WAF) a tu sitio. El uso de un WAF detiene a los bots antes de que lleguen a tu servidor. Si no estás seguro de cómo funciona, lee nuestra guía sobre las diferencias entre WAF y cortafuegos para ver cómo la protección Edge mantiene segura tu aplicación.

¡Terminando!

El hack japonés de palabras clave se dirige directamente a tus rankings de búsqueda para promocionar productos falsificados, apuestas ilegales y otras industrias de spam. Aunque puedes intentar limpiar la infección a mano, la búsqueda manual de archivos es peligrosa y a menudo ineficaz debido a las puertas traseras ocultas. Si pasas por alto un solo script malicioso, el spam se regenerará.

Escarbar manualmente en los archivos del servidor para encontrar estos scripts ocultos lleva horas y pone en peligro tu sitio en vivo.

En lugar de adivinar qué archivos eliminar, puedes utilizar Cloudways Malware Protection para que se encargue de toda la limpieza. Localiza y elimina las puertas traseras automáticamente, asegurando tu servidor para que puedas volver a recuperar tus rankings de búsqueda.