Hacking SEO | WordPress, Google y SEO

Por 7 agosto 2014 SEO 1 comentario
WordPress posicionamiento web y optimizacion

Actualización de seguridad, esa gran olvidada

Hoy voy a hablarte de WordPress pero como hilo conductor hacia un tema más importante y universal: la seguridad básica en los sitios web; como digo, con WP como ejemplo típico.

Tópicos en el menú: WP, hacking SEO, Google y Black Hat SEO, dividido en 2 bloques, primero WP y backups y segundo cómo afecta al SEO no mantener alta la guardia, es decir cuanto llega a doler una intrusión de hacking SEO.

Tiempo de lectura estimado: las ganas que tengas que se te metan en tu web


La nueva actualización WordPress 3.9.2 está disponible y se recomienda su implementación debido a una potencial vulnerabilidad relacionada con la denegación de servicios en el procesador XML de PHP, hecho descubierto por el equipo de seguridad de Salesforce.com

deberías probar la viabilidad de las copias de seguridad

Recuerda que antes de hacer cambios importantes en tu WordPress, como por ejemplo actualizaciones y de forma recomendable también «de vez en cuando» por lo menos:

  • Copia de los ficheros de instalación (vía FTP), las carpetas de instalación mínimas son las archiconocidas wp-admin, wp-includes y muy especialmente wp-content si no has cambiado tu carpeta de contenido como medida de seguridad antihacker, entonces no olvides copiar la carpeta equivalente y cualquier otra que hayas configurado diferente de la instalación por defecto, como por ejemplo la carpeta de Uploads. No olvides los ficheros básicos de WP que encontrarás al mismo nivel que las mencionadas carpetas, en la raíz de la instalación.
  • Backup de la base de datos MySQL con PHPmyAdmin o mediante un plugin adecuado
  • Exporta tu contenido! Si eres especialmente cuidados@ harás un export a bulto y luego por tipo de contenido

Atención si haces backups de base de datos mediante plugins, deberías probar la viabilidad de las copias de seguridad, que pueden ser completas o incrementales.
Si te fías de un robot puedes acabar como John Connor!

Si tienes pocos medios en general te conviene mantener tu instalación WordPress ligera, por ejemplo elimina los temas que no uses y como mucho deja uno muy ligero (de KB) por si acaso, por ejemplo uno de los temas básicos del propio WordPress que se ajuste mejor a tu web, recomiendo Twenty Fourteen por 2 razones, la primera que está «a tope» en limpieza de código y responsive design y la segunda porque permite mucho más juego que sus dos antecesores, usa un tema profesional para tu web y si eres manitas considera usar un tema hijo para poder actualizar tu plantilla sin riesgo a sobreescribir tus propias adaptaciones.
Al mantener tu instalación ligera de peso en disco los backups completos de ficheros tardarán menos y también ocuparán menos, ya sea en tu PC, servidor o hosting compartido. De esta forma puedes mantener un número razonable de ellos en stock por si detectas tarde algún problema o alguna intrusión en el código, como htaccess o wp-config alterados.

WordPress 3.9.2 y Google, WordPress y SEO

Google conoce bien WordPress 3.9.2, no creas que ahora tengan que entender de repente como funciona todo: básicamente es lo mismo pero con menos agujeros de seguridad, por otra parte de nuevo en esta actualización aparece un miembro del equipo de seguridad de Google:

[…] añade protección contra ataques e fuerza bruta contra tokens CSRF, detectado por David Tomaschik del equipo de seguridad de Google.

No me cabe en la cabeza que Google no tuviera expertos versados en los principales CMS del mundo, en términos de cuota de mercado, para saber por ejemplo cómo manejar su rastreo de forma más eficiente conociendo de antemano qué carpetas no es útil rastrear: fíjate que haciendo una búsqueda a lo bruto en Google en plan «/wp-includes/» aparecen resultados relacionados con desarrollo y tutoriales o Q&A pero nada que se considere contenidos de esa carpeta, en cambio si buscas «/wp-content/» tenemos unos cuantos PDF en el Top10 y se puede ver por la ruta del snippet que son EL contenido de la carpeta…

… El párrafo anterior sería deseable, pero se vé que todavía no han tenido tiempo de pensarlo y en cambio las SERP de Google ofrecen al mundo un sinfín de webs basadas en WordPress et alter que no han protegido mínimamente su instalación y están esperando que les metan mano los Black Hat SEO que hacen link building o redirigen tráfico a base de inyecciones de código:

Video SEO: ejemplo de Hacking SEO por inyección SQL

Páginas de Universidades Norteamericanas que han sido manipuladas mediante inyecciones de código a través de SQL, muestra los resultados en las SERP de Google buscando señales de Black Hat SEO para conseguir tráfico hacia sitios de venta online de medicamentos como Viagra, en el ejemplo.

Black Hat SEO por inyección SQL

http://alumni.uwest.edu/get/site/wp-content/plugins/contact-form-7/jquery.form.js?ver=2.52

GET /get/site/wp-content/plugins/contact-form-7/jquery.form.js?ver=2.52 HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive
If-Modified-Since: Wed, 23 Apr 2014 10:06:58 GMT
If-None-Match: "13fb25c3db5ecf1:0"

HTTP/1.1 304 Not Modified
Last-Modified: Wed, 23 Apr 2014 10:06:58 GMT
Accept-Ranges: bytes
Etag: "13fb25c3db5ecf1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
----------------------------------------------------------
http://alumni.uwest.edu/get/site/wp-content/plugins/contact-form-7/scripts.js?ver=2.4.5

GET /get/site/wp-content/plugins/contact-form-7/scripts.js?ver=2.4.5 HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: */*
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive
If-Modified-Since: Wed, 23 Apr 2014 10:06:58 GMT
If-None-Match: "755d28c3db5ecf1:0"

HTTP/1.1 304 Not Modified
Last-Modified: Wed, 23 Apr 2014 10:06:58 GMT
Accept-Ranges: bytes
Etag: "755d28c3db5ecf1:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
----------------------------------------------------------
http://alumni.uwest.edu/get/mpeg.php?q=ez+online+pharmacy+buy+viagra+usa

GET /get/mpeg.php?q=ez+online+pharmacy+buy+viagra+usa HTTP/1.1
Host: alumni.uwest.edu
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:31.0) Gecko/20100101 Firefox/31.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: es-ES,es;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://alumni.uwest.edu/get/ez-online-pharmacy-buy-viagra-usa-ys.html
Connection: keep-alive

HTTP/1.1 200 OK
Content-Type: text/html
Server: Microsoft-IIS/7.5
X-Powered-By: PHP/5.3.3, ASP.NET
Date: Thu, 07 Aug 2014 11:34:23 GMT
Content-Length: 268

1 comentario

  • […] o en contenidos autogenerados que escapan a tu control mientras residen en tu sitio web. Puedes ver un buen ejemplo de hacking SEO en este artículo que muestra cómo se han colado en una web de ex-alumnos de una universidad […]

¿Cuál es tu opinión?

Tu cuenta de correo no se hará pública.

¡Pon tu web a trabajar ya! Contacta hoy sin compromiso