Qué hacer si estás infectado con SPAM SEO en WordPress

En Jetpack, tratar diferentes tipos de amenazas y ataques web es parte de nuestra rutina. La mayoría de las veces, varía desde recopilar un archivo malicioso y encontrar el vector de ataque, hasta la ayuda para restaurar un sitio web desde la copia de seguridad más reciente. Pero a veces entramos en una dimensión diferente de ataques verdaderamente creativos, en una dimensión de reinfecciones inexplicables, ingresamos … en el área de Crepúsculo. De acuerdo, probablemente estoy exagerado por dramático, pero me apoyo cuando preparo la escena para esta historia misteriosa. ¿Listo? Esté conmigo en este viaje en el ámbito de los fantasmas, el spam y los motores de búsqueda.
El comportamiento malicioso encontré un sitio web que fue sometido a un ataque muy interesante. Apareció por primera vez como un correo electrónico enviado por la consola de búsqueda de Google: una URL inusual (y una muy sospechosa, con una URL que se puede hacer clic en el interior) figuraba como una página más grande.

Las páginas más populares de la herramienta de búsqueda de Google
El propietario del sitio estaba un poco molesto, porque tal comportamiento es a menudo el resultado de una infección, pero Jetpack no les ha detectado ni advertido. Además, estas páginas no existían en el sitio cuando verificaron, pero Google las indexaron. El área crepuscular se intensifica.
Mientras revisé si hay archivos sospechosos que Jetpack Scan se perdió (ninguna herramienta de seguridad detecta el 100% de las amenazas), las cosas se volvieron aún más extrañas. WordPress Core y los complementos estaban intactos: no hay archivo o scripts inyectados en la base de datos. Algunos complementos obsoletos no tenían remedios de seguridad, WordPress era hace una versión (5.6), y la última actualización no enumeró ningún remedios de alta seguridad. No había nada sospechoso. Sin sospechosos comunes, sin evidencia de ataques; No todavía, de todos modos. El siguiente paso lógico es la verificación de las revistas de acceso. Tal vez podría arrojar un poco de luz en este misterio. ¿Descubrimos que nos enfrentamos a un ataque cero o que finalmente encontramos pruebas para la teoría del multiverso, y este sitio web solo está infectado en el Universo #1337? ¡A Busteni! Una solicitud a este extraño spam

Parece que a Bing también le gusta … pero ¿por qué? Como era de esperar: nada extraño, aparte de muchas solicitudes a esas páginas de spam, como se puede ver en capturas de pantalla. Y todos convirtieron un “200 OK”. Entonces, la página existía en algún lugar del continuo tiempo y espacio, o … espera un segundo … ¿Lo ves ahora? Todas esas páginas buscaban la misma ubicación: `/? S =`, es decir, los motores de búsqueda (Google observó el problema, pero las solicitudes provienen de Bing) indexadas con los resultados de búsqueda. ¿Porque por favor? El rastreador no realiza búsquedas en la página, hasta donde sabemos, ¿verdad?

La paradoja de indexar los elementos básicos de la forma en que funciona un motor de búsqueda es bastante simple si se encuentra en el negocio del sitio web. Hay un script automático (o script) que accede a las páginas web, indexando su contenido, realiza algunos recursos interrogables de magia y tiendas en algún lugar de la nube. Dado esto, cavé un poco más las revistas para ver si alguna de estas solicitudes tenía alguna otra pista, como una referencia, pero no tuve suerte. Todas las solicitudes registradas provienen de motores de búsqueda. Afortunadamente, la consola de búsqueda de Google tenía una de las páginas de referencia en una de las revistas. La consola de búsqueda de Google nos ofrece algunas pistas. Ahora creo que es hora de cambiar nuestras áreas crepusculares con un sombrero CSI y eliminar algunos huesos del sitio web para ponerlos en un microscopio. Para el ojo entrenado, es fácil ver que la URL de la página de referencia pertenecía a un sitio web comprometido; ¡Afortunadamente, tenemos ojos bien entrenados! El director `index.phpa no tiene sentido y probablemente se ha agregado para confundir al propietario del sitio. Luego, es seguido por otro director aleatorio y un archivo PHP con un nombre aleatorio, que probablemente es un cargador que recibe la carga útil final: `Carges4/CCA442201.htm`, que también es aleatoria. Todas estas son características de una infección por malware de la granja de enlaces.
Una búsqueda rápida de Google para ver qué se indexó para el sitio de envío confirmó que realmente estaba infectado y transmitió el SEO de spam por un período. El sitio es para una empresa de alimentos en India, pero ofrece ofertas para SUV en Japón-Yes, este es el interrogatorio de búsqueda de spam que trae spam a los japoneses en sitios indios.

Sin embargo, ninguno de los resultados estaba relacionado con el sitio web de nuestro amigo, por lo que decidí averiguar si otros sitios se vieron afectados por el mismo comportamiento extraño.
Para buscar más víctimas de este ataque de spam, solo con fines educativos, utilizamos nuestro conocimiento de Google-Fu para crear una consulta de búsqueda que devuelva los sitios que terminen con .edu, quién tenía `/? =` En la URL y la URL y el palabra “compra” del título. Y obtuve 22 resultados. Lo cual es suficiente para nuestra caza.

Usando los sitios .edu y .gov para verificar la infección por spam, filtre los dominios (como .com) que se han creado solo para farmacia de enlace.
Esta es una prueba de que el sitio informado no fue el único afectado; Parece ser un problema más extendido. Pensamos en lo que Google podría haber hecho para indexar esas páginas. ¿Cómo llegó Google a ellos? Siguiente paso: verificadores de backlink.

Resultados de un enlace de verificación de enlace de retroceso

Hay varias herramientas en línea que proporcionan informes de vínculos de retroceso a los sitios web; El que utilicé en esta investigación fue AHREFS, pero otras herramientas pueden alcanzar los mismos resultados. Algunas de las páginas de búsqueda maliciosas se enumeran en resultados que confirman que estaba en el camino correcto.
Al seleccionar uno de estos sitios web para verificar lo que está sucediendo, vi casi 5,000 comentarios de spam, como puede ver en la próxima captura de pantalla (debe verificar el jetpack anti-spam). Cada comentario enviado a una página de búsqueda de un sitio web de spam en la consulta.

Al atrapar al conejo blanco, como se mencionó anteriormente, los robots de motores de búsqueda no hacen ninguna consulta en las páginas de los sitios web. Pero si encuentra un enlace a él, lo seguirán. Y si la página no le dice al script automático que una página en particular no es indexable, la agregará.
Has inyectado spam
Este es un método inteligente de “inyección” de spam en un sitio web para enviar spam a los motores de búsqueda y aumentar el rango de página del sitio a través de un enlace de bajo esfuerzo. Ahora que entendemos el problema, ¿cómo les decimos a los robots de los motores de búsqueda que eviten los siguientes enlaces a las páginas de búsqueda (o simplemente nos negamos a indexar)? La mejor manera sería hacer un cambio en WordPress Core, lo que ayudaría a proteger a toda la comunidad (si desea informar un error o desea contribuir con el código, únase a nosotros).

Para evitar algunas resumpciones innecesarias, verifiqué WordPress Core TRAC y encontré este problema que se resolvió en la versión 5.7, pero desafortunadamente no llegó al Journal of Changes como un problema de seguridad. Citaré al autor, quien describió el problema mejor que yo (agradecer a AbagTCS por el informe): Web Spammen comenzó a abusar de esos sitios, enviando términos de spam y nombres de host, con la esperanza de aumentar la clasificación de búsqueda de los sitios web de spam. Los spammers colocan estos enlaces en wiki abierto, comentarios de blog, foros y otros enlaces, basados ​​en motores de búsqueda que acceden a ellos con rastreadores y luego visitan e indexan las páginas resultantes del contenido de spam. Este ataque es sorprendentemente extendido, que afecta a muchos sitios web en todo el mundo. Aunque algunos CMS y sitios de código personalizados pueden ser vulnerables a esta técnica, basado en una investigación preliminar, parece que, al menos en el espacio .edu, la plataforma web más específica es WordPress “. Esto no es sorprendente cuando más del 41% de los sitios web más grandes son sitios de WordPress. Cerrar el caso Hay algunas buenas lecciones para aprender de este incidente: la URL presentada en las páginas de crecimiento superior no está bien desinfectada, por lo que la URL de spam que ves separada de las emociones en realidad se hace clic directamente (Hola, Google Friends, esto está de vuelta. ); Los usuarios desconocidos pueden hacer clic en ellos y acceder a contenido no deseado.
Google necesita algunos cambios para evitar la indexación de las páginas claramente spam. Según el informe del instrumento, se ha accedido a algunas páginas claras con rastreadores y no se han indexado, mientras que se ha agregado spam. Los atacantes utilizarán incluso la más mínima apertura de su sistema y debemos estar atentos en cualquier momento.

Siempre escuche a las personas y comprenda sus problemas. Si solo verificamos las revistas en nuestras propias herramientas, no seríamos conscientes de este problema y no podríamos ayudar a remediar su sitio.
Mantenga su software actualizado. Siempre.
En Jetpack, trabajamos duro para asegurarnos de que sus sitios estén protegidos por este tipo de vulnerabilidades. Para estar un paso por delante de cualquier nueva amenaza, consulte a Jetpack Scan, que incluye escaneo de seguridad y elimina automáticamente el malware. Y un consejo de sombrero a Erin Casali porque destacó este problema y ayudó a la investigación.