Hace unos meses una web de un amigo estaba teniendo movimientos raros en las serps, hasta el punto de que algunos clientes reportaron que cuando buscaban la marca les aparecia en google “cosas de viagra”.
El WordPress Pharma Hack es un tipo hackeo que ha afectado a sitios web WordPress desde la década de 2010, yo hacía bastante que no lo veía pero se vé que es una técnica que siguen usando.
Tras comentar esto en la comunidad de telegram de Aprendiz de Seo y ver que en un ambito de gente que está acostumbrada a trabajar con wordpress no lo conocían he decidido publicar este post en el que voy a comentar cómo detectar y eliminar este problema que, lamentablemente, ha infectado y afectado negativamente el posicionamiento en las SERPs de muchos sitios.
¿Qué es el WordPress Pharma Hack?:
Esta amenaza infecta los sitios WordPress, redirigiendo a usuarios y motores de búsqueda a contenido spam, a menudo relacionado con productos farmacéuticos.
Una táctica especialmente preocupante es la modificación del contenido exclusivamente para el user-agent de Google Bot lo que hace que el webmaster no se percate de que está siendo víctima de un defacement, es decir de una alteración de la apariencia y contenido de tu web.
En otras ocasiones he podido ver que el hackeo tiene en cuenta la cookie de sesión en wordpress, por lo tanto si tienes una sesión activa te mostrará la web con su apariencia normal mientras que si accedes como un usuario estandar verás el defacement.
La finalidad principal del Pharma Hack es redirigir a los usuarios, y especialmente a Google Bot, hacia contenido spam para obtener miles de enlaces. Este contenido suele promocionar la venta de productos farmacéuticos ilegales, afectando la reputación del sitio en los motores de búsqueda.
¿Cómo Saber si tu sitio web está Infectado?:
Como primeras pruebas puedes realizar una búsqueda en Google con términos como “viagra + tu dominio” y comprobar que tanto los titles como las descripciones sean las que deben ser, bueno las que google quiera que sean. También es recomendable visitar y navegar por tus sitios en navegación privada con cierta regularidad, y también puedes visualizar tu sitio como Google Bot para buscar redirecciones sospechosas.
Para visitar tu sitio como Google Bot deberás modificar el user agent, si no sabes como hacerlo directamente puedes utilizar alguna de las múltiples extensiones que existen para los navegador, buscando User Agent Switcher no deberías tener mayor problema para encontrar alguna.
¿Cómo funciona el WordPress Pharma Hack?:
Los hackers suelen aprovechar vulnerabilidades conocidas o exploits de día cero para ingresar al sistema. Esto destaca la importancia de mantener actualizado tanto WordPress como sus plugins y temas.
Una vez dentro, los atacantes buscan modificar archivos críticos del sitio, como index.php, wp-page.php, y cache.php. Estos cambios sirven como puntos de entrada para su actividad maliciosa.
Para dificultar la detección, los hackers a menudo recurren al encoding base64 para ocultar el código malicioso. Este método de codificación ofusca el contenido real, dificultando su identificación tanto para los administradores del sitio como para las herramientas de seguridad.
Los atacantes implementan “puertas traseras” en el código, permitiéndoles el acceso continuo y prolongado al sitio. Además, emplean técnicas de ofuscamiento, como ubicar archivos maliciosos dentro de directorios inesperados, para evadir la detección.
Impacto del Pharma Hack en tu página web:
La reputación online sufre, podrías ser blacklisted por Google y tus rankings de búsqueda pueden caer, experimentar desindexaciones masivas, afectando la confianza de los usuarios. Actuar rápidamente es crucial para proteger tu sitio.
Cómo limpiar tu wordpress del Pharma Hack:
- Realiza una copia de seguridad completa.
- Escanea tu sitio con herramientas como VirusTotal o Astra’s Malware Scanner.
- Elimina archivos infectados y limpia directorios temporales.
- Verifica y elimina código malicioso en la base de datos.
- Revisa y restaura archivos comprometidos.
La prevención es clave:
No esperes a ser víctima. Mantén tu WordPress actualizado, utiliza contraseñas fuertes y sé consciente de posibles vulnerabilidades en plugins y temas sobre todo si son temas nulled. La seguridad es responsabilidad de todos.
