WordPress SEO spam: ¿qué es y cómo prevenirlo?
El spam SEO en WordPress es una de las amenazas de seguridad más comunes para los sitios web que usan este CMS. Puede hacer que tu sitio sea etiquetado como engañoso, causar que tus usuarios sufran estafas y alterar la funcionalidad normal.
Este artículo explora cómo los spammers atacan tu sitio web y qué podés hacer para detenerlos.
¿Qué es el spam SEO en WordPress?
Como ya sabés, mejorar el SEO de tu sitio web lleva a posiciones más altas en los rankings de motores de búsqueda. Un mejor ranking lleva a más visitantes y mayores oportunidades para monetizar tu sitio.
Una forma en que los dueños de sitios inescrupulosos juegan con el sistema de SEO para aumentar el tráfico del sitio es utilizando técnicas de SEO de sombrero negro, también conocidas como ataques de SEO spam, spamdexing o spam SEO. Estas prácticas aumentan el ranking SEO mediante la interrupción maliciosa de los sitios web de otros. Con ellas, los propietarios de sitios aumentan el tráfico a sus sitios violando la seguridad de otros sitios y redirigiendo el tráfico.
El spam SEO es una amenaza de seguridad muy común en el ecosistema de WordPress. Según el informe de seguridad de Sucuri de 2021, el 52% de los sitios limpiados con su escáner SiteCheck sufrieron una infección de malware de SEO spam.
Tipos de spam SEO en WordPress
Palabras clave de spam
Estas son palabras clave colocadas en el sitio web de alguien más para hacer que ese sitio clasifique para esas palabras específicas, que el spammer a menudo usa para ejecutar estafas. Los spammers suelen introducir palabras clave relacionadas con productos farmacéuticos como Viagra o Cialis, marcas de ropa deportiva como Nike, y ropa o bolsas de marca como Gucci.
Estas palabras pueden estar colocadas en secciones visibles del sitio web, como el encabezado, o en ubicaciones discretas, como el texto alternativo de una imagen.
Enlaces de spam
Los enlaces de spam son enlaces engañosamente colocados en el sitio web de alguien más. Estos enlaces dirigen al sitio web al que el spammer intenta aumentar el tráfico y pueden estar ocultos bajo cualquier contenido clickeable, como texto enlazado o archivos multimedia.
Los enlaces de spam se llaman “clickjacking” y a menudo llevan a usuarios desprevenidos a sitios maliciosos que roban información personal o ejecutan estafas.
Publicaciones y páginas de spam
Después de ganar acceso a un sitio a través de backdoors, un plugin o tema vulnerable, o cualquier otro exploit de seguridad, los spammers pueden crear nuevas publicaciones y páginas plagadas de palabras clave y enlaces de spam. Los sitios populares con amplios archivos son el objetivo principal de estas tácticas, ya que su puntaje SEO les permite clasificar rápidamente para cualquier palabra clave sobre la que publiquen.
Los spammers utilizan la popularidad del sitio para dirigir una gran cantidad de tráfico a su sitio malicioso.
Emails de spam
El término “spam” inicialmente se refería a correos electrónicos no solicitados que llevaban a sitios maliciosos o fraudulentos, una práctica que continúa hoy. Al obtener acceso a un correo electrónico asociado con tu sitio, los spammers envían correos de estafa a tu base de datos.
Si los miembros de tu base de datos confían en tu dirección de correo electrónico, pueden hacer clic en los enlaces del correo, lo que podría llevar al robo de información personal o a mercados fraudulentos donde serán estafados. Como resultado, los clientes pueden etiquetar colectivamente tu dirección como spam, clasificando eventualmente la cuenta como spam por defecto.
Anuncios, banners y ventanas emergentes de spam
Los spammers pueden insertar anuncios, banners y ventanas emergentes maliciosos en tu sitio web para robar información o dirigir a los usuarios a sitios fraudulentos.
Señales de un ataque de spam SEO en WordPress
Aunque los spammers de SEO suelen intentar ser sigilosos, y a veces puede ser difícil detectar los ataques de spam SEO, dejan rastro de sus actividades maliciosas. Estos son algunos de los signos más comunes de este tipo de ataque:
- Advertencias de Google Search Console. Google Search Console puede detectar contenido añadido sin permiso, páginas engañosas, recursos incrustados engañosos, enlaces a descargas maliciosas, entre otros.
- Los escaneos de malware detectaron código malicioso en tu sitio web.
- Al intentar ingresar a tu sitio desde Google, aparece una advertencia de “Sitio engañoso por delante”.
- Picos o caídas inesperadas y repentinas en el tráfico del sitio web.
- Nuevas publicaciones, páginas, anuncios, banners y ventanas emergentes que los administradores legítimos no añadieron.
- Informe de transparencia de Google. Usando la función de Navegación Segura, podés pegar la URL de un sitio web o página específica. La herramienta te dirá si se detectó contenido inseguro.
- Texto ancla inesperado y sospechoso, como “zapatillas Adidas baratas” o “comprar Viagra”.
- Caracteres japoneses inesperados en los títulos de publicaciones y metadatos (hack de palabra clave japonesa). Los caracteres japoneses a menudo enlazan a sitios que venden mercancía falsificada de marcas conocidas.
Consecuencias de los ataques de spam SEO en WordPress
Los ataques de spam SEO pueden afectar significativamente la funcionalidad y el tráfico de tu sitio. Estas son algunas de las formas más comunes en que estos ataques afectan tu sitio web:
- Las brechas de seguridad que permitieron a los spammers manipular el contenido de tu sitio web pueden abrirte a violaciones adicionales. Esta es una táctica común utilizada en ataques por backdoor.
- Tu sitio web puede comenzar a posicionarse para palabras clave de spam en lugar de las palabras clave que te interesan, desviando clics de vos y, potencialmente, llevando a una pérdida de ingresos.
- Pérdida de tiempo tratando de mejorar tu ranking SEO mientras estás bajo ataque.
- Pérdida de reputación (e ingresos), especialmente si los usuarios son estafados después de ser redirigidos desde un enlace de spam insertado en tu sitio.
- Desconfianza inmediata de los usuarios si tu sitio web es etiquetado como “engañoso” por Google, lo que lleva a pérdida de tráfico e ingresos.
- Tu alojamiento web podría censurar tu cuenta y sitio si determinan que está siendo usado maliciosamente.
¿Cómo prevenir los ataques de spam SEO en WordPress?
Actualizar plugins, temas, archivos centrales y PHP
Los hackers y desarrolladores están en una carrera constante. Los desarrolladores mejoran continuamente las medidas de seguridad, y los hackers intentan encontrar nuevas formas de romperlas.
Con mucho, la forma más común en que se hackea un sitio web para inyectar spam SEO u otro tipo de malware es a través de una vulnerabilidad en un plugin. Sin embargo, también pueden explotar temas, archivos centrales de WordPress y versiones de PHP. Mantener todos tus componentes de software actualizados con el último parche de seguridad protegerá tu sitio web.
Mantente al tanto de los plugins vulnerables.
Deberías evitar los plugins con vulnerabilidades conocidas o desactivarlos hasta que sean corregidos con una actualización. Medios como Sucuri, iThemes y Wordfence publican frecuentemente resúmenes sobre qué plugins son vulnerables.
Instalar un plugin de seguridad.
Los plugins de seguridad protegen tu sitio web de vulnerabilidades y amenazas conocidas. Pueden eliminar vectores comunes de infección y ayudarte a prevenir ataques de spam SEO, entre muchas otras amenazas. Sus características más comunes incluyen:
- Monitoreo y escaneo de tu sitio web en busca de malware.
- Filtraje de spam.
- Verificación de certificados SSL.
- Protección de tu sitio contra ataques de día cero.
- Reparación y restauración de sitios hackeados.
- Seguridad en el proceso de autenticación.
- Aplicación de firewalls.
Algunos plugins de seguridad populares incluyen Sucuri, Jetpack, Wordfence, iThemes Security, All In One WP Security y BulletProof Security.
Realizar escaneos regulares de malware.
Los escáneres de malware detectan vulnerabilidades comunes como las utilizadas por los atacantes de spam SEO para obtener acceso a tu sitio. Sin embargo, recordá que no pueden escanear tu base de datos, cuentas de usuario, configuraciones de WordPress o plugins, elementos comunes utilizados a menudo para ataques.
Aun así, son muy efectivos dentro de su alcance.
Fortificar tu inicio de sesión
Proteger tu inicio de sesión de los hackers es una de las mejores formas de proteger tu sitio de ataques en general, incluyendo el spam SEO. Considerá tomar las siguientes medidas:
- Exigir contraseñas fuertes y únicas para todos los usuarios administradores.
- Personalizar tu URL de inicio de sesión para evitar que los hackers accedan fácilmente a ella.
- Agregar autenticación de dos factores al inicio de sesión. Esta es una de las formas más efectivas de proteger tu contraseña de intentos de hacking.
- Limitar los intentos fallidos de inicio de sesión con un plugin como Limit Login Attempts Reloaded.
Gestionar permisos de archivos
La gestión de permisos de archivos para la configuración central de WordPress determina qué usuarios pueden leer, escribir y ejecutar un archivo o todos los archivos en una carpeta. Ser demasiado estricto interfiere con el rendimiento del sitio, el tema y los plugins. Sin embargo, ser demasiado permisivo te expone a amenazas de seguridad si alguna cuenta de usuario es comprometida.
Tendrás que encontrar el mejor equilibrio para tu flujo de trabajo.
Podés modificar permisos de archivos usando un cliente FTP como FileZilla y hacer clic derecho en archivos y carpetas. Obtendrás una lista de permisos para cada tipo de usuario, que podés modificar. Un modelo que algunos administradores y desarrolladores utilizan es el siguiente.
- wp-config.php = 400 o 440
- Todos los archivos .php = 644
- index.php = 644 o 444
- Carpeta wp-content = 755
- Carpeta wp-includes = 755
- Carpeta wp-content/uploads = 755
- Todos los archivos en general = 644
- Todas las carpetas en general = 755
Sin embargo, determiná si funciona para las necesidades de tu sitio y hacé ajustes si es necesario.
Restaurar una copia de seguridad del sitio web
Esto es más bien una forma de revertir un sitio invadido por ataques de spam SEO, pero puede ser una medida efectiva (aunque extrema).
Recordá que incluso después de una restauración, la vulnerabilidad original que llevó a que tu sitio fuera hackeado puede seguir existiendo, por lo que también debes averiguar qué pasó y resolver el problema o correrás el riesgo de ser atacado de nuevo.
Los ataques de spam SEO en WordPress son comunes pero se pueden prevenir
Los propietarios maliciosos utilizan ataques de spam SEO para dirigir el tráfico del sitio web manipulando otros sitios y agregando enlaces a los suyos. Esto viola las pautas de los motores de búsqueda y puede llevar a la pérdida de reputación e ingresos para las empresas afectadas.
WordPress es a menudo el objetivo de estos ataques por ser el CMS más popular del mundo. Sin embargo, hay medidas de seguridad que los propietarios de sitios web pueden tomar para proteger sus sitios de las brechas de seguridad comunes que preceden a los ataques de spam SEO.
Haciendo lo que explicamos en este artículo, estarás listo para protegerte de estos ataques.
Artículos relacionados
Seguridad en WordPress / 10 min de lectura
Seguridad en WordPress / 10 min de lectura
¿Cómo auditar la seguridad de un sitio web en WordPress?
WordPress, al ser el sistema de gestión de contenido más popular, atrae una cantidad considerable de atención maliciosa. Para evitar que el tuyo sea víctima de un ciberataque, deberías auditar…
Read MoreSeguridad en WordPress / 11 min de lectura
Seguridad en WordPress / 11 min de lectura
¿Por qué tu sitio de WordPress está “No Seguro”? Lo que necesitás saber
En julio de 2018, Google Chrome comenzó a marcar los sitios sin un certificado SSL como "no seguros". Cualquier sitio web que aún use HTTP en lugar de HTTPS para…
Read MorePaso a paso / 8 min de lectura
Paso a paso / 8 min de lectura
Ataques CSRF en WordPress: ¿qué son y cómo prevenirlos?
Los ataques de CSRF (cross-site request forgery) en WordPress son una de las vulnerabilidades de seguridad más comunes que deben tener en cuenta los desarrolladores de plugins, temas y sitios…
Read MoreSeguridad en WordPress / 9 min de lectura
Seguridad en WordPress / 9 min de lectura
Ataques a la cadena de suministro de WordPress: ¿qué son y cómo prevenirlos?
WordPress es el sistema de gestión de contenidos más popular, atrayendo a muchos hackers que quieren aprovechar un ecosistema tan rico para su beneficio. Los ataques a la cadena de…
Read MoreSeguridad en WordPress / 9 min de lectura
Seguridad en WordPress / 9 min de lectura
18 Estadísticas de Seguridad de WordPress para 2024
Explorar estadísticas sobre la seguridad en WordPress puede ser una gran causa de insomnio si sos propietario de un sitio web. Sin embargo, también es una excelente manera de mantenerse…
Read More