Que tal @escarpia como primera acción siempre realiza un backup completo, luego deberías verificar tu archivo .htaccess https://wordpress.org/support/article/htaccess/ si tiene datos extraños cambialo por el standard
# BEGIN WordPress
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Realizando un escaneo https://wpsec.com/scan/?id=beade7bd1ba0f0bf7dc28de15aa4f0c1 observo 4 plugins con vulnerabilidades que estarían realiazando estos ataques principalmente KK-STAR-RATINGS, SASSY-SOCIAL-SHARE y YOUTUBE-EMBED-PLUS; actualízalos urgente.
Lo siguiente es un escaneo profundo a tu sitio con el plugin GotMLS https://wordpress.org/plugins/gotmls/ y revisa lo encontrado ya que debería ubicar algún archivo .php que esté realizando el ataque.
Para finalizar ve a Google Search Console y agrega tu sitemap.
En primer lugar, gracias por tomarte el tiempo para responder. Te comento cómo me fue en las acciones que me comentas:
1. Sobre el cambio del archivo htaccess, no sé realmente identificar lo que llamas datos extraños, aunque aparecen muchos en comparación con el ejemplo del archivo standard que pusiste. Transcribo al final de este mensaje mi actual archivo htaccess.
2. Los cuatro plugins que comentas (KK-Star-Ratings, Sassy-Social-Share y Youtube-Embed-Plus) ya estaban actualizados y las vulnerabilidades que daba el informe que hiciste con WPSec eran con respecto a versiones anteriores.
3. El escaneo con GotMLS me dio dos errores de exploración/lectura en:
/public_html/.wp-toolkit_g/wp-content/uploads/wpo/rewrite/0.txt
/public_html/wp-content/uploads/wpo/rewrite/0.txt
4. Luego de la restauración del backup, ya ayer había subido un nuevo sitemap a Search Console, pues el anterior a la restauración estaba repleto de urls absurdas.
A todas estas, aún se siguen incrementando en Google las urls sin sentido…
Acá la transcripción del archivo htaccess:
IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_URI} ^/?wp\-content/+debug\.log$
RewriteRule .* – [F,L,NC]
</IfModule>
<IfModule !mod_rewrite.c>
<Files «debug.log»>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
<IfModule !mod_authz_core.c>
Order deny,allow
Deny from all
</IfModule>
</Files>
</IfModule>
# BEGIN WordPress
# Las directivas (líneas) entre «BEGIN WordPress» y «END WordPress» son
# generadas dinámicamente y solo deberían ser modificadas mediante filtros de WordPress.
# Cualquier cambio en las directivas que hay entre esos marcadores serán sobrescritas.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* – [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
# php — BEGIN cPanel-generated handler, do not edit
# Set the “ea-php80” package as the default “PHP” programming language.
<IfModule mime_module>
AddHandler application/x-httpd-ea-php80___lsphp .php .php8 .phtml
</IfModule>
# php — END cPanel-generated handler, do not edit
# BEGIN WP-Optimize Gzip compression
<IfModule mod_filter.c>
<IfModule mod_deflate.c>
# Compress HTML, CSS, JavaScript, Text, XML and fonts
AddType application/vnd.ms-fontobject .eot
AddType font/ttf .ttf
AddType font/otf .otf
AddType font/x-woff .woff
AddType image/svg+xml .svg
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-font-woff
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE font/woff
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
# Remove browser bugs (only needed for really old browsers)
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
<IfModule mod_headers.c>
Header append Vary User-Agent
</IfModule>
</IfModule>
</IfModule>
# END WP-Optimize Gzip compression
Casi todo tu htaccess son directivas del plugin WPO, por lo que queda revisar en Google Search Console donde deberías tener un aviso de
Nuevos problemas de Cobertura detectados en *tu dominio*
Problemas críticos principales*
La URL enviada devuelve un soft 404
Y en ello debería estar toda la lista de las 15 páginas que arroja Google hasta el momento
Tuve un caso similar de clickjacking pero fue uno que agregaba dominios con caracteres chinos al consultar site:*dominio* en google; lo que hice fue eliminar todo el contenido que mandaba un error 404 manual, luego eliminar las urls del cache y por último solicitar la remoción total del dominio usando la opción
Retirar todas las URL que tengan este prefijo
Entra a https://search.google.com/search-console/removals y eliges tu propiedad; demorará pero es la forma segura se quitar los enlaces que tienes listado en google, mientras vas eliminando puedes consultar site:miinfoproducto.com cada 24 horas y verás que la lista va disminuyendo.
También podrías probar lo de este tutorial https://themeskills.com/prevent-clickjacking-wordpress-x-frame-options/ que se resume en agregar una línea a tu .htaccess
Header always append X-Frame-Options SAMEORIGIN
Antes de todo y tener habilitado mod_headers en tu servidor
Hola. Al momento ya van unas mil urls maliciosas y se suman más a cada momento, lo que llevaría una eternidad desindexarlas manualmente una por una por Search Console. Ahora, cuando dices «solicitar la remoción total del dominio usando la opción Retirar todas las URL que tengan este prefijo» en Search Console, ¿eso sería desindexar todo el sitio, tanto urls buenas como malas? ¿No perdería ahí luego todo el tráfico por Google? Gracias de antemano por tu respuesta.
Es que aún hay archivos corruptos que está generando ese clickjacking, eso se tendría que ver a nivel servidor, también en los logs, para ver que lo está generando, una vez que se ubique al responsable del ataque se tiene que solicitar retiro de URLs, cargar el sitemap y volver a indexar en google, de lo contrario no se borrarán así se haya limpiado tu web.
Respecto a tu servidor, usas VPS o Hosting Compartido? en algunos mediante un ticket de soporte podrías solicitar un escaneo y limpieza de todo tu directorio de archivos, con ello se puede ubicar los archivos infectados.
Revisa también este tema https://wordpress.org/support/topic/various-protection/ indican que agregando esto
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Header Set Strict-Transport-Security: max-age= 31536000;
Content-Security-Policy: default-src https:
<IfModule mod_headers.c>
Header set X-XSS-Protection “1; mode=block”
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>
ServerSignature Off`
al htaccess mitiga lo que estás pasando.
-
Esta respuesta fue modificada hace 1 año, 7 meses por
Checha.
Hola @escarpia
Bienvenido al foro de soporte. Si se generan URLs que no pertenecen a la web es evidente que tu instalación ha sido hackeada y estas limpiando la basura pero no lo que la genera. Aunque desindexes todo el el sitio (con lo que implica como bien observas) se seguirían generando.
te dejo el enlace a la guía para limpiar un WordPress infectado o hackeado. Sigue los pasos que se indican en el orden que están y sin saltarte ninguno, de esa forma es posible que consigas limpiar tu instalación.
Comenta los resultados y, por favor, recuerda marcar el debate como resuelto cuando así sea, de esta forma nos ayudas a mantener el foro al día.
-
Esta respuesta fue modificada hace 1 año, 7 meses por
jose64. Razón: Añadir enlace
Es que aún hay archivos corruptos que está generando ese clickjacking, eso se tendría que ver a nivel servidor, también en los logs, para ver que lo está generando, una vez que se ubique al responsable del ataque se tiene que solicitar retiro de URLs, cargar el sitemap y volver a indexar en google, de lo contrario no se borrarán así se haya limpiado tu web.
Respecto a tu servidor, usas VPS o Hosting Compartido? en algunos mediante un ticket de soporte podrías solicitar un escaneo y limpieza de todo tu directorio de archivos, con ello se puede ubicar los archivos infectados que debe ser la prioridad.
Tras el trago amargo de ver mi posicionamiento hecho trizas -con apenas 120 urls en mi web, me aparecían en Google más de 6.000 urls maliciosas- usé el plugin de pago Bulk URL Removal para remover tanta basura, y Wordfence para identificar la falla inicial. Espero les sea de utilidad.
Entonces efectivamente se trataba de una infección. De todas formas te recomiendo que sigas los pasos que indican en la guía que te indiqué en la respuesta anterior.
Gracias por el explicar como lo solucionaste, marco el debate como resuelto.
