La importancia del mantenimiento: Black SEO y las Botas de Agua Astrales

Somos Roberto y Francisco, un pequeño equipo dedicado al desarrollo web especializado en las cuestiones técnicas de las plataformas WordPress y WooCommerce. Realizamos consultoría y formación, desarrollamos plugins y temas, optimizamos, securizamos, respondemos a incidentes de seguridad y mantenemos sitios. Fundada en 2012, somos el apoyo técnico de más de un centenar de proyectos web en España y Alemania, además formamos parte activa de la comunidad WordPress.

Hace unos días revisando trabajos antiguos nos dimos cuenta de que estaba pasando una cosa muy rara con la web de un proyecto que lanzamos en 2014 y al que tenemos mucho cariño por lo bien que quedó.

Haciendo una búsqueda en Google nos encontramos con el siguiente resultado.

¿Cómo? ¡La previsualización de Google está en Japonés! ¿Estarán orientándose al mercado nipón? Lo curioso era que una vez entrabas a la página todo parecía estar en orden, no había ni rastro del japonés.

Alguien había conseguido tomar control de la página y estaba mostrando contenido distinto a los visitantes y a los motores de búsqueda.

Desgraciadamente, el sitio web estaba desarrollado bajo los criterios de una subvención pública que no recogía en modo alguno la posibilidad de tener un mantenimiento del sitio web o al menos copias de seguridad, de modo que la web quedó ahí, y años más tarde, aparentemente, alguien consiguió acceder a ella o al servidor.

¡Hola, soy tu user-agent!

Cuando visitamos un sitio web uno de los primeros datos que las máquinas intercambian entre ellas es nuestro Agente de usuario o «user-agent» en inglés. Esto permite entre otras cosas saber el dispositivo, navegador y sistema operativos que el visitante está usando.

Para comprobar nuestras sospechas probamos a visitar de nuevo la web pero esta vez cambiando nuestro user-agent, y nos identificamos como si accedieramos con la araña de Google. Para ello usamos una extensión de Chrome que te permite cambiar tu user-agent.

Cambiando nuestro user-agent «a jibiri»

A continuación os hacemos un resumen de la conversación que tuvimos con la web hackeada una vez cambiamos nuestro user-agent:

  • Tock, tock.
  • ¿Quién es?.
  • Soy un robot. Concretamente la araña Google.
  • ¿Seguro?.
  • ¡Claro! ¿No ves mi user-agent?.
  • Vale, pues entonces mira esta OTRA versión de la web que solo estoy dando al buscador de Google.

Y en ese momento vimos lo que estaba mostrándose a los bots y motores de búsqueda:

Por si no habláis japonés os comentamos que el contenido del <h1> es: «Botas de lluvia de Astral Botas de lluvia Zapatos de lona asimétrica Turquesa Granito gris, Astral Zapatos de mujer Botas Botas de lluvia Turquesa Granito gris Todos los productos Intercambio de tamaño gratuito«.

Pero la cosa no termina ahí, si pinchamos en los enlaces que nos ofrece esa página nos llevan a otras URLs donde hay aún más contenidos en Japonés. Si intentamos acceder a esas URLs con nuestro user-agent normal, nos devuelve un 404 (nos dice que no existe) pero curiosamente al mismo tiempo nos dice que la página está en Japonés y que si queremos traducirla.

¿Qué está pasando aquí?

Os preguntaréis que sentido puede tener hackear una web para poner contenidos que solamente ven los robots de los motores de búsqueda, pero la respuesta es bien sencilla: Black SEO.

Uno de los criterios que usa Google decidir el orden en que muestra las webs en su página de resultados de búsqueda (Search Engine Results Page o «SERP» en inglés) es el número de enlaces externos que apuntan a cada sitio web.

Quien atacó y modificó la web probablemente quería vender más Botas de lluvia de Astrales y para ello modificó otros sitios webs -sin su permiso ni conocimiento- para añadir enlaces a su web de Botas de lluvia Astrales con la esperanza de hacerla aparecer más arriban en los resultados de Google.

Plugins abandonados, backdoors, payday loans y Black SEO

Es difícil saber con seguridad por dónde se han colado los atacantes, pero el ataque que ha sufrido este sitio web es bastante común. De hecho en el blog de WordFence contaba a finales del año pasado un elaborado sistema para comprar plugins abandonados, añadirles un backdoor y actualizarlos en el repositorio de WordPress, creando de manera muy sencilla decenas de miles de páginas «zombie» con un comportamiento muy similar.

En ese caso lo que querían promocionar eran «payday loans», es decir, préstamos a muy corto plazo y con un interés altísimo, orientado a personas con muy pocos recursos. Vamos, que prefiero las botas de agua astrales.

Mantenimiento

WordPress es una tecnología muy segura, pero no es infalible y existen posibles puntos de acceso para usuarios y maquinas no autorizados. De hecho, en la mayoría de los casos, la vulnerabilidad no la ha tenido WordPress, sino: Un plugin desarrollado por un tercero con un problema de seguridad que se descubre a posteriori, una contraseña débil, un servidor no actualizado, una configuración errónea.

La mejor medicina para evitar este tipo de problemas: Mantener, actualizar, realizar copias de seguridad y vigilar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *