Soporte » Guías – Resolución de problemas » Urls erróneas en Google

  • Saludos. Desde días atrás Google viene publicando cientos de urls extrañas con mi nombre de dominio. Ya He tomado las siguientes acciones
    – Restauración de una copia de seguridad antes de presentarse el problema. Esto 1) Restauró el sitemap, que presentaba las cientos de urls ajenas a mi web. 2) Me permitió agregar plugin, opción que había desaparecido del menú de WordPress antes de la restauración. 3) Quitó unas opciones raras de reescritura en el cuadro final de Enlaces Permanentes.
    – Instalación, escaneo y reparación mediante plugin Wordfence y Malcare. Muestran actualmente un estado saludable, tal como lo señalan varias herramientas online como Sucuri.
    Pese a estas medidas, cada hora siguen indexándose en Google unas 50 urls absurdas (mi web tiene alrededor de 120, y con estas maliciosas ahora supera las 500) que no forman parte de mis páginas creadas ni entradas de blog. Si pudiesen darme razones sobre esta situación y una manera de resolverla, lo agradecería con toda el alma.

    La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 7 respuestas - de la 1 a la 7 (de un total de 7)
  • Que tal @escarpia como primera acción siempre realiza un backup completo, luego deberías verificar tu archivo .htaccess https://wordpress.org/support/article/htaccess/ si tiene datos extraños cambialo por el standard

    # BEGIN WordPress
    
    RewriteEngine On
    RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    
    # END WordPress

    Realizando un escaneo https://wpsec.com/scan/?id=beade7bd1ba0f0bf7dc28de15aa4f0c1 observo 4 plugins con vulnerabilidades que estarían realiazando estos ataques principalmente KK-STAR-RATINGS, SASSY-SOCIAL-SHARE y YOUTUBE-EMBED-PLUS; actualízalos urgente.

    Lo siguiente es un escaneo profundo a tu sitio con el plugin GotMLS https://wordpress.org/plugins/gotmls/ y revisa lo encontrado ya que debería ubicar algún archivo .php que esté realizando el ataque.

    Para finalizar ve a Google Search Console y agrega tu sitemap.

    Iniciador del debate Castor Carmona

    (@escarpia)

    En primer lugar, gracias por tomarte el tiempo para responder. Te comento cómo me fue en las acciones que me comentas:

    1. Sobre el cambio del archivo htaccess, no sé realmente identificar lo que llamas datos extraños, aunque aparecen muchos en comparación con el ejemplo del archivo standard que pusiste. Transcribo al final de este mensaje mi actual archivo htaccess.

    2. Los cuatro plugins que comentas (KK-Star-Ratings, Sassy-Social-Share y Youtube-Embed-Plus) ya estaban actualizados y las vulnerabilidades que daba el informe que hiciste con WPSec eran con respecto a versiones anteriores.

    3. El escaneo con GotMLS me dio dos errores de exploración/lectura en:
    /public_html/.wp-toolkit_g/wp-content/uploads/wpo/rewrite/0.txt
    /public_html/wp-content/uploads/wpo/rewrite/0.txt

    4. Luego de la restauración del backup, ya ayer había subido un nuevo sitemap a Search Console, pues el anterior a la restauración estaba repleto de urls absurdas.
    A todas estas, aún se siguen incrementando en Google las urls sin sentido… 

    Acá la transcripción del archivo htaccess:
    IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{REQUEST_URI} ^/?wp\-content/+debug\.log$
    RewriteRule .* – [F,L,NC]
    </IfModule>
    <IfModule !mod_rewrite.c>
    <Files «debug.log»>
    <IfModule mod_authz_core.c>
    Require all denied
    </IfModule>
    <IfModule !mod_authz_core.c>
    Order deny,allow
    Deny from all
    </IfModule>
    </Files>
    </IfModule>
    # BEGIN WordPress
    # Las directivas (líneas) entre «BEGIN WordPress» y «END WordPress» son
    # generadas dinámicamente y solo deberían ser modificadas mediante filtros de WordPress.
    # Cualquier cambio en las directivas que hay entre esos marcadores serán sobrescritas.
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule .* – [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
    RewriteBase /
    RewriteRule ^index\.php$ – [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
    # END WordPress
    # php — BEGIN cPanel-generated handler, do not edit
    # Set the “ea-php80” package as the default “PHP” programming language.
    <IfModule mime_module>
    AddHandler application/x-httpd-ea-php80___lsphp .php .php8 .phtml
    </IfModule>
    # php — END cPanel-generated handler, do not edit
    # BEGIN WP-Optimize Gzip compression
    <IfModule mod_filter.c>
    <IfModule mod_deflate.c>
    # Compress HTML, CSS, JavaScript, Text, XML and fonts
    AddType application/vnd.ms-fontobject .eot
    AddType font/ttf .ttf
    AddType font/otf .otf
    AddType font/x-woff .woff
    AddType image/svg+xml .svg
    AddOutputFilterByType DEFLATE application/javascript
    AddOutputFilterByType DEFLATE application/rss+xml
    AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
    AddOutputFilterByType DEFLATE application/x-font
    AddOutputFilterByType DEFLATE application/x-font-opentype
    AddOutputFilterByType DEFLATE application/x-font-otf
    AddOutputFilterByType DEFLATE application/x-font-truetype
    AddOutputFilterByType DEFLATE application/x-font-ttf
    AddOutputFilterByType DEFLATE application/x-font-woff
    AddOutputFilterByType DEFLATE application/x-javascript
    AddOutputFilterByType DEFLATE application/xhtml+xml
    AddOutputFilterByType DEFLATE application/xml
    AddOutputFilterByType DEFLATE font/opentype
    AddOutputFilterByType DEFLATE font/otf
    AddOutputFilterByType DEFLATE font/ttf
    AddOutputFilterByType DEFLATE font/woff
    AddOutputFilterByType DEFLATE image/svg+xml
    AddOutputFilterByType DEFLATE image/x-icon
    AddOutputFilterByType DEFLATE text/css
    AddOutputFilterByType DEFLATE text/html
    AddOutputFilterByType DEFLATE text/javascript
    AddOutputFilterByType DEFLATE text/plain
    AddOutputFilterByType DEFLATE text/xml

    # Remove browser bugs (only needed for really old browsers)
    BrowserMatch ^Mozilla/4 gzip-only-text/html
    BrowserMatch ^Mozilla/4\.0[678] no-gzip
    BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
    <IfModule mod_headers.c>
    Header append Vary User-Agent
    </IfModule>
    </IfModule>
    </IfModule>
    # END WP-Optimize Gzip compression

    Casi todo tu htaccess son directivas del plugin WPO, por lo que queda revisar en Google Search Console donde deberías tener un aviso de

    Nuevos problemas de Cobertura detectados en *tu dominio*

    Problemas críticos principales*
    La URL enviada devuelve un soft 404

    Y en ello debería estar toda la lista de las 15 páginas que arroja Google hasta el momento

    Tuve un caso similar de clickjacking pero fue uno que agregaba dominios con caracteres chinos al consultar site:*dominio* en google; lo que hice fue eliminar todo el contenido que mandaba un error 404 manual, luego eliminar las urls del cache y por último solicitar la remoción total del dominio usando la opción

    Retirar todas las URL que tengan este prefijo

    Entra a https://search.google.com/search-console/removals y eliges tu propiedad; demorará pero es la forma segura se quitar los enlaces que tienes listado en google, mientras vas eliminando puedes consultar site:miinfoproducto.com cada 24 horas y verás que la lista va disminuyendo.

    También podrías probar lo de este tutorial https://themeskills.com/prevent-clickjacking-wordpress-x-frame-options/ que se resume en agregar una línea a tu .htaccess

    Header always append X-Frame-Options SAMEORIGIN

    Antes de todo y tener habilitado mod_headers en tu servidor

    Iniciador del debate Castor Carmona

    (@escarpia)

    Hola. Al momento ya van unas mil urls maliciosas y se suman más a cada momento, lo que llevaría una eternidad desindexarlas manualmente una por una por Search Console. Ahora, cuando dices «solicitar la remoción total del dominio usando la opción Retirar todas las URL que tengan este prefijo» en Search Console, ¿eso sería desindexar todo el sitio, tanto urls buenas como malas? ¿No perdería ahí luego todo el tráfico por Google? Gracias de antemano por tu respuesta.

    Es que aún hay archivos corruptos que está generando ese clickjacking, eso se tendría que ver a nivel servidor, también en los logs, para ver que lo está generando, una vez que se ubique al responsable del ataque se tiene que solicitar retiro de URLs, cargar el sitemap y volver a indexar en google, de lo contrario no se borrarán así se haya limpiado tu web.

    Respecto a tu servidor, usas VPS o Hosting Compartido? en algunos mediante un ticket de soporte podrías solicitar un escaneo y limpieza de todo tu directorio de archivos, con ello se puede ubicar los archivos infectados.

    Revisa también este tema https://wordpress.org/support/topic/various-protection/ indican que agregando esto

    RewriteCond %{HTTPS} off
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
    Header Set Strict-Transport-Security: max-age= 31536000;
    Content-Security-Policy: default-src https:

    <IfModule mod_headers.c>
    Header set X-XSS-Protection “1; mode=block”
    Header always append X-Frame-Options SAMEORIGIN
    Header set X-Content-Type-Options nosniff
    </IfModule>
    ServerSignature Off`

    al htaccess mitiga lo que estás pasando.

    • Esta respuesta fue modificada hace 1 semana, 4 días por Checha.
    Moderador Jose Luis

    (@jose64)

    Hola @escarpia

    Bienvenido al foro de soporte. Si se generan URLs que no pertenecen a la web es evidente que tu instalación ha sido hackeada y estas limpiando la basura pero no lo que la genera. Aunque desindexes todo el el sitio (con lo que implica como bien observas) se seguirían generando.

    te dejo el enlace a la guía para limpiar un WordPress infectado o hackeado. Sigue los pasos que se indican en el orden que están y sin saltarte ninguno, de esa forma es posible que consigas limpiar tu instalación.

    Comenta los resultados y, por favor, recuerda marcar el debate como resuelto cuando así sea, de esta forma nos ayudas a mantener el foro al día.

    • Esta respuesta fue modificada hace 1 semana, 4 días por Jose Luis. Razón: Añadir enlace

    Es que aún hay archivos corruptos que está generando ese clickjacking, eso se tendría que ver a nivel servidor, también en los logs, para ver que lo está generando, una vez que se ubique al responsable del ataque se tiene que solicitar retiro de URLs, cargar el sitemap y volver a indexar en google, de lo contrario no se borrarán así se haya limpiado tu web.

    Respecto a tu servidor, usas VPS o Hosting Compartido? en algunos mediante un ticket de soporte podrías solicitar un escaneo y limpieza de todo tu directorio de archivos, con ello se puede ubicar los archivos infectados que debe ser la prioridad.

Viendo 7 respuestas - de la 1 a la 7 (de un total de 7)
  • Debes estar registrado para responder a este debate.