Como remover o hack de palavras-chave japonesas do teu site e recuperar o SEO

Principais conclusões

• A remoção manual de malware requer a eliminação de scripts ocultos dos ficheiros principais, mas um único erro pode danificar o teu site ou deixar escapar completamente os backdoors ocultos.
• Os plugins de segurança são mais seguros do que a edição manual, mas consomem recursos do servidor e não podem ajudar se o hack te bloquear o painel de controlo wp-admin.
• Automatiza toda a limpeza no nível do servidor com o Cloudways Malware Protection para remover instantaneamente as ameaças por apenas US$ 4/mês por aplicativo.

Um hack de palavras-chave japonês substitui as listagens do teu motor de busca por texto de spam estrangeiro. Como resultado disto, o teu tráfego orgânico diminui porque os utilizadores vêem palavras sem sentido em vez do teu conteúdo real, e o Google começa a classificar-te por palavras-chave de spam em vez dos teus termos de negócio reais.

Lidar com um hack de palavras-chave japonesas é uma parte crítica da estratégia geral de segurança do teu site. Para o corrigir permanentemente e restaurar o teu tráfego, tens de descobrir exatamente como os atacantes contornaram as tuas defesas e onde esconderam o seu código malicioso.

Neste guia, explicamos-te como funciona este hack e damos-te duas formas de o resolveres: uma limpeza manual passo-a-passo e um processo de remoção automática utilizando a Cloudways Malware Protection.

O que é o hack de palavras-chave japonesas?

O hack de palavras-chave japonesas é uma técnica de spam de SEO de chapéu preto. Os hackers encontram uma vulnerabilidade no teu site WordPress e usam-na para gerar automaticamente milhares de páginas ocultas. Estas páginas estão cheias de texto japonês e links de afiliados.

O motivo por detrás deste ataque é puramente financeiro. Os atacantes querem roubar a reputação estabelecida do teu domínio nos motores de busca. Utilizam a autoridade do teu site para classificar as suas próprias páginas de spam e vender produtos falsificados, como malas ou relógios de marca falsos, em mercados de pesquisa estrangeiros.

Ao contrário de um hack de redireccionamento do WordPress que envia imediatamente os teus visitantes humanos para um site de spam, o hack de palavras-chave japonesas usa a camuflagem para se esconder de ti enquanto visa os motores de busca.

Se visitares a tua página inicial normalmente, tudo parece estar bem. Mas quando o Google te visita, os seus bots vêem as páginas de spam injectadas. Isto torna a infeção incrivelmente difícil de detetar até que os danos nas tuas classificações de pesquisa já estejam feitos.

Corrige automaticamente o hack de palavras-chave japonesas

A limpeza manual muitas vezes perde os backdoors ocultos que fazem com que esse hack se regenere. A Proteção contra Malware da Cloudways verifica seu servidor para encontrar e remover esses scripts maliciosos automaticamente.

Protege-te

Como é que o hack de palavras-chave japonesas infecta o teu site?

Os atacantes não costumam visar manualmente a tua empresa específica. Utilizam bots automatizados para analisar a Web em busca de pontos fracos conhecidos na infraestrutura do sítio Web. Quando encontram uma lacuna, injectam os seus scripts de spam. Eis os pontos de entrada mais comuns.

Plugins e temas desatualizados

Os programadores lançam actualizações para corrigir as falhas de segurança descobertas. Se deixares os plugins ou temas a funcionar em versões mais antigas, essas vulnerabilidades não corrigidas funcionam como uma porta aberta. Os bots exploram facilmente estas falhas conhecidas para obter acesso ao backend da tua instalação WordPress.

Credenciais fracas

A tua página de login wp-admin é um alvo principal. Os hackers utilizam ataques de força bruta com scripts para adivinhar milhares de combinações de nome de utilizador e palavra-passe em minutos. Sem palavras-passe fortes e sem uma limitação de taxa adequada, acabam por entrar e obter controlo administrativo.

Permissões de ficheiros incorrectas

As permissões de ficheiro do teu servidor ditam quem pode ler, escrever ou executar dados. Se as tuas permissões forem demasiado vagas, os scripts maliciosos têm a liberdade de escrever novos ficheiros diretamente nos diretórios do teu servidor. É exatamente assim que as páginas de spam japonesas ocultas são geradas e armazenadas no teu site.

Sinais comuns de hacking de palavras-chave japonesas

Uma vez que o hack de palavras-chave japonês se baseia na camuflagem, o teu sítio Web pode parecer completamente normal para ti e para os teus visitantes humanos. Tens de olhar para os sinais específicos que os motores de busca utilizam para detetar o problema.

Resultados da pesquisa do Google

A maneira mais fácil de verificar se há uma infeção é fazer uma pesquisa manual no site. Vai ao Google e escreve site:yourdomain.com na barra de pesquisa. Examina as páginas indexadas. Se vires caracteres japoneses nos títulos ou nas meta descrições, o teu site está comprometido.

Fonte: support.google.com

Detetar a camuflagem

Os piratas informáticos utilizam a camuflagem para esconder o spam dos proprietários dos sites. Para ver exatamente o que o Google vê, inicia sessão na tua Consola de Pesquisa do Google. Passa um URL suspeito pela Ferramenta de Inspeção de URL e vê a página rastreada. Se o HTML renderizado mostrar spam em vez do teu conteúdo real, descobriste a infeção oculta.

Utilizadores desonestos da Consola de Pesquisa do Google

Os piratas informáticos querem forçar o Google a indexar rapidamente as suas novas páginas de spam. Para tal, verificam frequentemente as suas próprias contas como proprietários de propriedades na tua Consola de Pesquisa do Google. Verifica as tuas definições de utilizador e de permissão e procura quaisquer contas do Gmail não reconhecidas adicionadas como “Proprietários”.

Sitemaps modificados

O teu mapa do site é um roteiro para os motores de busca. Os atacantes modificam o teu ficheiro sitemap.xml existente ou geram novos ficheiros inteiramente para incluir milhares de links de spam. Se reparares em URLs desconhecidos no teu mapa do site, tens de verificar imediatamente se o teu site tem malware.

Como encontrar e remover o Hack manualmente

Limpar um servidor infetado manualmente é altamente técnico e acarreta riscos significativos. Tens de localizar e eliminar o código malicioso sem quebrar a tua aplicação principal.

A remoção manual de malware do WordPress requer extrema cautela. Se eliminares a linha de código errada, o teu site ficará totalmente danificado.

Passo 1: Faz uma cópia de segurança completa

Nunca edites os ficheiros do servidor sem guardar primeiro uma cópia de segurança. Se apagares um ficheiro crítico do núcleo por acidente, o teu site irá falhar. Antes de tocares em qualquer código, tens de guardar uma cópia de tudo.

• Descarrega os teus ficheiros: Transfere um programa FTP gratuito como o FileZilla. Introduz o endereço IP do teu servidor, o nome de utilizador e a palavra-passe para te ligares. Encontra a tua pasta public_html (o teu diretório web de raiz) e arrasta a pasta inteira para o teu computador local.

• Exportar a tua base de dados: Acede ao painel de controlo do teu alojamento, abre o phpMyAdmin, seleciona a tua base de dados WordPress e clica no separador Exportar para transferir uma cópia.

• Para usuários do Cloudways: Podes saltar os passos manuais de FTP e base de dados. Basta fazer login na sua conta, ir para Gerenciamento de aplicativos, selecionar seu site infetado, clicar em Backup e restauração e clicar no botão“Fazer backup agora“.

Passo 2: Remove os proprietários do GSC desonestos

Tens de impedir o atacante de forçar o Google a indexar o seu spam. Se não o fizeres agora, amanhã eles apresentarão novos sitemaps de spam e voltarás ao ponto de partida.

• Acede à Consola de Pesquisa do Google e seleciona a tua propriedade.
• Clica em Definições no canto inferior esquerdo e, em seguida, escolhe Utilizadores e permissões.

• Vê a lista de proprietários. Se vires um endereço de e-mail que não reconheças, clica nos três pontos junto ao nome e seleciona Remover acesso.

• Fica atento a uma notificação de aviso. A Google avisa-te se o utilizador puder recuperar o acesso utilizando um token de propriedade existente.
• Encontra o token específico. Podes clicar em“Tokens de propriedade não utilizados” na página Utilizadores e permissões para ver exatamente o que o hacker utilizou para verificar a sua conta.

• Elimina o token do teu site. Se for um ficheiro HTML, utiliza o FileZilla para encontrar o nome exato do ficheiro no teu diretório raiz e elimina-o. Se for uma tag HTML, remove-a do código de cabeçalho do teu tema.

Passo 3: Verifica o ficheiro .htaccess

O ficheiro .htaccess controla a forma como o teu servidor lida com o tráfego de entrada. Os piratas informáticos modificam este ficheiro para que mostre o conteúdo de spam especificamente aos bots dos motores de busca, enquanto mostra o teu site normal aos visitantes normais.

• Abre o FileZilla e liga-te ao teu servidor.
• Localiza o ficheiro .htaccess na tua pasta raiz e descarrega-o para o poderes editar.

• Procura blocos de código concebidos para intercetar os motores de busca. Normalmente, verás HTTP_USER_AGENT listado mesmo ao lado de googlebot, bingbot ou yandex.
• Logo abaixo dessa condição, encontrarás uma RewriteRule que redirecciona o tráfego do bot para um domínio estrangeiro, tal como a ligação .jp mostrada na captura de ecrã abaixo.

• Elimina todo esse bloco de código malicioso. Guarda o ficheiro e carrega-o novamente no servidor para restaurar as regras de encaminhamento predefinidas do WordPress.

Passo 4: Procura ficheiros PHP perigosos

Os atacantes escondem os seus scripts geradores de spam nos diretórios do teu servidor. Usam intencionalmente nomes de ficheiros despretensiosos, como wp-options.php, para se misturarem com os ficheiros principais legítimos e evitarem a deteção.

Tens de inspecionar manualmente estes diretórios para os localizar e remover.

• Utiliza o FileZilla para navegar até ao teu diretório wp-content/uploads. Como mostra a captura de ecrã abaixo, esta pasta foi concebida exclusivamente para o armazenamento de imagens e suportes de dados. Se encontrares um ficheiro PHP autónomo entre as tuas pastas de datas, é altamente suspeito.

• Clica com o botão direito do rato e vê o conteúdo de qualquer ficheiro fora do lugar. Os scripts maliciosos são quase sempre ofuscados para esconder o seu verdadeiro objetivo dos scanners de segurança.
• Como podes ver na captura de ecrã abaixo, se o ficheiro contiver nomes de funções quebrados ou longos blocos de texto ilegível e baralhado, elimina-o imediatamente.

• Repete também o mesmo tipo de inspeção que acabámos de fazer no teu diretório wp-includes. Procura ficheiros com nomes que imitem ficheiros do sistema principal, mas que pareçam ligeiramente estranhos, como index-config.php ou wp-options.php.

Passo 5: Limpar o teu Sitemap

Assim que os ficheiros maliciosos forem removidos, tens de limpar os links de spam deixados para trás para os motores de busca. Se os deixares no local, o Google continuará a tentar rastrear as páginas de spam mortas.

• Se dependes de um ficheiro sitemap.xml estático, abre-o através do FileZilla. Como mostrado na captura de ecrã abaixo, verás caracteres estrangeiros óbvios ou URLs de produtos estranhos misturados com as páginas normais do teu site. Elimina manualmente esses blocos específicos de<url> e guarda o ficheiro.

• Se utilizares um plugin de SEO como o Yoast ou o RankMath, o processo é muito mais fácil. Basta ires às definições do plugin, desativar a funcionalidade de mapa do site XML, guardar as alterações e voltar a activá-la. Isto força o plugin a criar automaticamente um mapa do site novo e limpo.

Os perigos ocultos da limpeza manual

Mesmo que sigas todos os passos que acabámos de cobrir para remover manualmente o hack, ainda podem existir ameaças escondidas no teu servidor.

O teu site pode parecer limpo por um breve momento. Mas tentar limpar um ataque complexo manualmente acarreta riscos significativos que normalmente levam ao fracasso.

Quebrar o teu site em direto

Estás essencialmente a fazer uma cirurgia no teu servidor. Eliminar o script PHP errado ou cometer um único erro de digitação no teu ficheiro .htaccess irá fazer com que a tua aplicação caia instantaneamente. Um erro faz com que o teu site fique completamente offline, adicionando tempo de inatividade aos teus problemas de SEO existentes.

O laço da porta traseira

Quando os atacantes comprometeram inicialmente o teu site, não se limitaram a deixar cair as páginas de spam. Também esconderam um script fortemente codificado, chamado backdoor, no fundo de um diretório obscuro. Esta entrada secreta permite-lhes voltar a entrar sem precisarem de uma palavra-passe.

Se limpares a infeção visível e te desconectares, esse script backdoor oculto é executado silenciosamente em segundo plano. Regenera instantaneamente as regras de encaminhamento maliciosas e cria milhares de novas páginas de spam japonesas novamente.

Uma abordagem melhor

Se não encontrares e destruíres cada backdoor, a infeção continuará a voltar. Encontrar estes scripts manualmente é quase impossível porque foram concebidos para parecerem código WordPress legítimo.

Em vez de arriscar o tempo de atividade e desperdiçar horas vasculhando arquivos, é possível automatizar todo o processo de limpeza usando o complemento Cloudways Malware Protection.

A solução automatizada: Complemento de proteção contra malware da Cloudways

Encontrar scripts ocultos nos diretórios do seu servidor leva tempo e habilidade técnica. Para simplificar esse processo, criamos o complemento de proteção contra malware diretamente na plataforma Cloudways.

Desenvolvida pela Imunify360, esta ferramenta faz um scan ao nível do SO. Como funciona a esta profundidade, reforça a segurança geral do teu servidor, em vez de verificar apenas as pastas padrão do WordPress. Encontra e remove a causa raiz do lado do servidor, por isso nem sequer precisas de aceder ao teu painel de controlo do WordPress para limpar a infeção.

Vê aqui como o suplemento resolve automaticamente o hack de palavras-chave japonesas:

• Limpeza automatizada do Backdoor: Em vez de tentares adivinhar que ficheiro PHP na tua pasta de uploads é falso, o sistema analisa todo o ambiente do teu servidor. Localiza automaticamente os scripts ofuscados e limpa o código infetado, mantendo os ficheiros legítimos do seu site perfeitamente intactos.
• Proteção profunda da base de dados: O hack de palavras-chave japonesas esconde-se muitas vezes dentro de tabelas de bases de dados ou configura tarefas cron maliciosas para regenerar o spam. O nosso scanner entra diretamente na tua base de dados para eliminar estes gatilhos ocultos.
• Bloqueio ativo de ameaças: Este complemento usa a autoproteção de aplicativos em tempo de execução (RASP) para isolar e remover automaticamente os backdoors ocultos antes que eles possam ser executados. Impede que scripts maliciosos reescrevam seu arquivo .htaccess ou gerem novos links de spam em tempo real.

Como ativar a limpeza automatizada

A ativação do add-on demora apenas alguns cliques. A verificação inicial é executada inteiramente em segundo plano, pelo que não afectará o desempenho do teu sítio Web.

Passo 1: Vai para Segurança da Aplicação

Faça login na sua plataforma Cloudways e selecione seu aplicativo de destino. No menu de gerenciamento do lado esquerdo, clica em Segurança do aplicativo.

Passo 2: Ativar o complemento de proteção contra malware

Seleciona o separador Proteção contra malware e clica no botão Ativar proteção. Isto ativa instantaneamente a monitorização em tempo real e desencadeia uma análise abrangente e automatizada dos teus diretórios Web e da tua base de dados para caçar os geradores de spam.

Passo 3: Verifica os resultados da verificação

Quando a extensão estiver ativa, podes monitorizar o processo de limpeza através de três separadores simples:

• Malicioso: lista as ameaças isoladas. Mostra o caminho exato do arquivo onde o backdoor foi encontrado e confirma se ele foi Limpo, Colocado em Quarentena ou Removido.
• Histórico de verificações: Revê um registo completo de todas as verificações automáticas anteriores ou clica em“Iniciar verificação” para desencadear uma verificação imediata.
• Defesa proactiva: Este é o teu registo de proteção em tempo de execução. Detalha todos os eventos em que scripts PHP maliciosos foram impedidos de serem executados.

Como reconstruir o teu SEO e evitar a re-infeção

Quando o teu servidor estiver totalmente livre de malware e backdoors, o teu trabalho ainda não está concluído. Tens de reparar os danos causados às tuas classificações de pesquisa e trancar as portas para que os atacantes não possam regressar.

Forçar o Google a rastrear novamente o teu site

Se não fizeres nada, os caracteres japoneses permanecerão nos teus resultados de pesquisa durante semanas até o Google voltar a rastrear naturalmente o teu domínio. Tens de acelerar este processo.

Acede à Consola de Pesquisa do Google e introduz a tua página inicial e os URLs com melhor classificação na ferramenta Inspeção de URLs na parte superior do painel. Clica em“Solicitar indexação“. Isto força o Googlebot a visitar o teu site limpo e a eliminar as páginas de spam do índice de pesquisa.

Corrige as tuas vulnerabilidades

Para garantir uma correção permanente, tens de resolver a vulnerabilidade original que concedeu o acesso aos atacantes. Começa por remover quaisquer temas ou plug-ins inactivos que residam no teu servidor, uma vez que o software não utilizado constitui uma grande responsabilidade de segurança.

Em seguida, tens de fazer uma atualização completa do núcleo do WordPress, de todos os plugins activos e do teu tema.

Se estiveres preocupado que a execução de uma grande atualização possa quebrar o layout do teu site, podes automatizar todo o processo usando o Cloudways SafeUpdates.

O SafeUpdates faz uma cópia de segurança, testa as actualizações em segundo plano para garantir que o seu site tem exatamente o mesmo aspeto e, em seguida, aplica-as à sua aplicação em tempo real. Mantém o seu software atualizado e elimina as vulnerabilidades que os bots exploram sem que tenha de verificar manualmente cada plug-in.

Bloqueia Bots Automatizados com um WAF

O Japanese keyword hack é espalhado por bots automatizados que estão constantemente a procurar na Internet plugins desactualizados e palavras-passe fracas. A forma mais eficaz de evitar a reinfeção é impedir que estes bots maliciosos cheguem ao teu ambiente WordPress.

Ativar o Cloudflare Enterprise na tua conta Cloudways adiciona um Web Application Firewall (WAF) ao teu site. O uso de um WAF interrompe os bots antes que eles atinjam seu servidor. Se não tiveres certeza de como isso funciona, leia nosso guia sobre as diferenças entre WAF e firewall para ver como a proteção de borda mantém seu aplicativo seguro.

Terminar!

O hack de palavra-chave japonês visa diretamente os teus rankings de pesquisa para promover bens falsificados, jogos de azar ilegais e outras indústrias de spam. Embora possas tentar limpar a infeção à mão, a caça manual de ficheiros é perigosa e muitas vezes ineficaz devido a backdoors escondidos. Se perderes um único script malicioso, o spam será regenerado.

A pesquisa manual nos ficheiros do servidor para encontrar estes scripts ocultos demora horas e coloca o teu site em risco.

Em vez de adivinhar quais arquivos devem ser excluídos, você pode usar o Cloudways Malware Protection para lidar com toda a limpeza. Ele localiza e remove os backdoors automaticamente, protegendo seu servidor para que você possa voltar a recuperar seus rankings de pesquisa.