Cómo afecta al SEO que tu web WordPress sea hackeada y qué medidas tomar si te pasa

Web hackeada afecta al SEO

¿Sabes que si tu web es hackeada afecta a su posicionamiento SEO?

De nada te sirve estar optimizando al máximo tu web, si después te ocurre esto.

Lo malo de esto es que muchos de los dueños de sitios webs no se dan cuenta hasta que es tarde.

O puede que nunca se enteren de que les ha pasado.

Hoy quiero que salgas de toda duda y cubras tus espaldas para evitar este tipo de problemas.

Cuesta mucho trabajo mejorar el SEO de WordPress si después lo perdemos con estas cosas.

[toc]

¿Cómo afecta al SEO de tu web?

Dado que no es algo de agrado de nadie hay que evitarlo y qué mejor manera que sabiendo a lo que nos exponemos.

Que hackeen tu web puede afectarte al SEO de varias maneras.

Mala experiencia de usuario

Si tu web ha sido hackeada los primeros que lo van a notar son tus usuarios.

Puede que vean cosas raras en tu web, que se les infecte su ordenador o mil cosas más.

En este caso los primeros afectados son ellos que se llevarán una mala impresión.

La verdad es que no es plato de buen gusto para nadie.

Ya sabes que la experiencia de usuario es parte del SEO y hay que cuidarla.

Si ellos se largan sube la tasa de rebote y te afecta al posicionamiento.

Bajada de conversiones

Si tienes un blog y tus usuario notan que a la web le pasa algo, seguramente no se fiarán de darse de alta en tu newsletter.

Bueno, eso y no dejar comentarios, contactar contigo, etc.

Es obvio que la gente se largue en cuanto vea algo raro.

Y si es una tienda pues prepárate para una bajada de ventas.

Da igual el tipo de web que tenga, que perderás algo seguro.

Bajada de visitas

En cuanto el señor Google se dé cuenta de que tu web es peligrosa te pondrá el cartelito y adiós visitas.

Sí, ese que dice algo así:

  • El sitio al que vas a acceder contiene software malicioso.
  • El sitio web al que vas a acceder es engañoso.
  • El sitio al que vas a acceder contiene programas dañinos.

Ahora ya no es que la gente entre y se largue.

Lo que pasará ahora es que Google la marcará como peligrosa en los resultados de búsqueda.

Y todo el que la vea no entrará.

Visitas perdidas.

Motivos por los que WordPress es hackeado

WordPress desactualizado

Si tu no actualizas tu web, no tendrás las ultimas actualizaciones de seguridad.

Y si hace un mes salió un fallo de seguridad, pues hay gente que lo aprovecha para buscar web débiles.

Es verdad que actualizar WordPress es más que apretar un simple botón, por el mero hecho de las compatibilidades entre plugins o temas.

Pero no debe ser motivo para dejar una web sin actualizar por meses o años como he visto.

Tampoco hace falta hacerlo todos los días.

Pero si sería recomendable una vez al mes.

Aunque a veces salen parches de seguridad y hay que actualizar a la carrera.

Plugins desactualizados

Aquí suelo ver 2 escenarios que se repiten sin cesar según el tipo de plugin.

Plugins gratuitos

Que instalemos un plugin gratuito no significa que no tenga seguridad.

Todo lo contrario.

Los desarrolladores de plugins suelen tener una versión gratuita que suele estar en el respositorio de WordPress.

Y después venden aparte la misma versión, pero como otras opciones para el que quieras pagarlas.

Osea que siempre están actualizados.

Pero aún así, hay quien no los actualiza y después vienen los problemas.

En el caso de que veas plugins sin actualizar desde hace mucho tiempo, te recomiendo que dejes de usarlos.

Plugins de pago

Un error que suelen tener los que empiezan diseñando web en WordPress y quieren presupuestarla muy baratas.

Es que al tener unos precios más económicos, no hay presupuesto para las versiones de pago de esos plugin.

Entonces se suelen instalar plugin que o bien no se han activado para recibir actualizaciones, o la licencia es solo de un año y después dejan de actualizarse.

El resultado es agujeros de seguridad por todos los sitios y la web hackeada.

Temas sin actualizar y/o sin soporte

Al igual que con WordPress y plugins, los temas deben ser actualizados.

Y aquí se pueden dar también 2 casos.

Temas sin soporte

Resulta que hay miles de desarrolladores de temas que hacen y hacen temas y los venden en los markets.

Pero después de un tiempo, dejan de darle soporte al tema.

Lo que significa que ni estarán preparados para las nuevas versiones de WordPress.

Y mucho menos para los problemas de seguridad que surjan.

El resultado ya lo sabes.

Temas sin licencia

Vuelvo a decir lo mismo que con los plugins de pago sin licencia.

Si no se actualizan estamos venidos por todos lados.

Pongamos un ejemplo de una web a un precio de 250 Euros.

No hay presupuesto para hacerlo todo bien con un tema premium de unos 60 Euros, más un par de plugins de 20 Euros cada uno.

Usuarios universales

Últimamente he visto varias web de clientes y todas tenían algo en común.

Usaban como único administrador de WordPress, el usuario admin, administrator, o similar.

Eso es otra puerta abierta porque los atacantes ya tienen la mitad del trabajo hecho.

Ya han dado con el usuario y ahora solo falta sacar la contraseña.

Por favor.

Ponte de usuario lo que quieras, pero no me uses estos usuarios.

Contraseñas inseguras

La gente normalmente suele usar contraseñas sencillas para cosas importantes.

Y no es que lo hagan a aposta.

Lo hacen porque así son mucho más sencillas de recordar.

Hay páginas como ésta en la que puedes tener una contraseña muy segura, aunque no creo que la recuerdes.

Te doy un truco.

Ponte una contraseña que tenga letras mayúsculas, minúsculas, letras y números, pero del siguiente modo.

Antonio nació el año 1980.

Puede poner una contraseña más o menos así.

¿Antonio1980?

Ésta contraseña tan simple de aprender, pero tiene símbolos de interrogación, mayúsculas y demás, y tiene una seguridad de un 84%.

Casi na.

Protección de login

Otro error que suelo ver es el login de WordPress desprotegido.

Eso da paso a que recibe montones de ataques por fuerza bruta, hasta que de con las contraseña de algún usuario.

Y más si encima combina con alguno de los dos últimos apartados que te he contado antes.

Es importante proteger el login, ya sea con algún plugin, desde el mismo servidor u otros métodos.

Pero no dejes la puerta de tu casa abierta.

Hosting inseguros

En esta vida todo puede fallar y un hosting no va a ser menos.

Por eso es importante que cojas un hosting que sea seguro.

Hay muchas cosas que pueden afectar a tu web y un proveedor de estos servicios tiene que estar al día.

¿Y qué debemos buscar para elegirlo?

Pues te diré lo que yo miro cuando estoy buscando uno.

A mi me da tranquilidad un hosting que tiene un blog y publican consejos y recomendaciones de todo tipo, incluidos los de seguridad.

Yo quiero que al leer las características del hosting a la hora de la contratación, hagan mención de la seguridad y como la controlan.

Y por último miraría donde alojan sus webs los diseñadores web, desarrolladores y gente que se mueva en Internet.

¿Cómo lo haces?

Muy sencillo.

Te vas a ésta herramienta y pones el nombre del dominio y te dirá el proveedor.

Si el nombre del proveedor no lo conoces, puedes mirar lo dns que suelen ser de la marca de la web.

Si miras la mía verás que estoy en Siteground, aunque puede que cuando lo veas ya haya migrado a otro que tengo en mente.

Esto no es ninguna seguridad, pero menos es nada, ¿no?

Hay muchos mas motivos o causas por los que una web WordPress puede ser hackeada.

Yo te he puesto los más importantes y que suelen ser la causa de la mayoría de infecciones.

¿Cómo comprobar que te han hackeado?

Antes de nada tendrás que saber si han hackeado o no tu web.

Hay muchos métodos y algunos en los que ni siquiera tendrás que estar atento.

Pero por si acaso, te explico los que yo uso.

Tu hosting te avisa de que tu web está infectada

Algo muy normal es que tu hosting haga controles de seguridad.

Yo estoy muy contento con Siteground y sus medidas de seguridad.

Si nota algo raro te avisa para que tomes las medidas necesarias.

Lo bueno de ésto es que por lo menos así te enteras de que pasa algo.

Lo malo es que todos los hostings te bloquean el acceso a tu web y tienes que avisarles cuando pase todo.

O por lo menos deberían hacerlo.

No es plato de buen gusto.

Pero es lo que hay y por eso debemos evitarlo.

Google te dice que tu web es peligrosa

Si hay algo peor que te avise tu empresa de alojamiento.

Es que Google te tenga que avisar.

Básicamente porque Google no se complica.

Avisará a todos tus visitantes de que tu web es peligrosa y que no entren.

Y te avisará para que lo arregles.

Si no lo haces.

Pues prepárate para que te castigue y te haga bajar posiciones.

Una vez que lo hagas, basta con avisarle de que el problema ya ha pasado y asunto arreglado.

Aparecen contenidos en tu web que no los has puesto tú

Ésta es una de las formas más frecuentes de notar un hackeo.

Entras a tu web y lo ves, o incluso te avisa un visitante de que en tu web sale algo raro.

Pueden ser desde banners.

Textos que enlazan con sitios que no tienen nada que ver con tu web.

Pueden ser por ejemplo sitios que venden pastillas azules de la alegría.

Ésto no mola porque está redirigiendo a tu usuarios a esos sitios.

Y puede que en esos sitios haya algún programa malicioso que fastidie el ordenador de ésta persona.

Date una vuelta por tu web de vez en cuando y revisa que todo esté ok.

Tu web redirige a otros sitios

Si al entrar en tu web, directamente te lleva a otra es que algo no va bien.

Da igual los plugins que tengas instalados.

No debería de hacer ésto.

Aunque en éste aspecto es importante que pienses bien si has tocado algo.

El archivo htaccess es un archivo que si se toca mal puede llevarte a problemas de éste tipo.

Pero vaya.

Que si las páginas a las que redirige es de señoritas ligeras de ropa.

Seguro que no ha sido problema tuyo.

Ventanas o popups que se abren

Pues con ésto igual que lo anterior.

Si notas que se abren ventanas y cosas raras es que hay algo raro.

Éste es un modo muy chungo de verlo y te explico porqué.

Puede que esté configurado de tal modo que no se le muestre a todo el mundo.

Osea que entras varias veces y no se muestra nada y en una de ellas si se ve.

A mi me ha pasado vaya.

Ojo con ésto.

Usuarios creados sin permiso

Si hay algo que suelen hacer cuando hackean un sitio es crear usuarios.

Es muy importante que lleves el control de usuarios de tu WordPress.

Si tu lo tienes configurado para que no se puedan registrar.

Y además no tienes ningún plugin de miembros que permita ésta opción.

Pues es que algo no va bien.

Si los usuarios que se registran son suscriptores, no hay problema.

Lo malo es cuando tienen permisos para publicar como autores.

O peor todavía.

Que sean administradores.

Para que tengas una idea, puedes ver mi artículo sobre los usuarios de WordPress y sus características.

Usuarios ocultos

No se si alguna vez habrás visto ésto.

Pero yo si.

Entras a WodPress y cuando te vas a los usuarios, ves que solo tienes el tuyo y alguno más.

Pero cuando miras arriba donde sale el número de usuarios, el número de administradores, etc.

Te das cuenta de que hay más administradores.

Pero éstos no aparecen en la lista.

Son usuarios ocultos.

Están activos, pero desde ahí no se pueden eliminar.

Ya requiere acceder a la base de datos y hacerlo a mano.

No es algo complejo, pero hay que saber hacerlo.

Espero que no te toque ésto nunca si no tienes conocimientos avanzados.

El panel de WordPress no se muestra correctamente

Me he topado en alguna ocasión que el panel de WordPress no se mostraba correctamente.

Puede que salga algo deformado.

Que se muestren botones o cajas que no deberían estar ahí.

Y mil cosas más.

A ver.

Antes de que te alarmes.

Puede que ésto sea por algún plugin que esté causando el problema.

Pero también puede que sea porque tu WordPress tenga código inyectado.

Así que tenlo en cuenta la próxima vez cuando entres y veas algo raro.

Archivos desconocidos

Lo bueno de WordPress es que todas las instalaciones tienes los mismos archivos.

Hablo de los archivos de WordPress y no de por ejemplo de una carpeta images que hayas creado.

O de los archivos de verificación de por ejemplo las herramientas para webmaster de Google.

Así que si ya tienes cierta experiencia es fácil ver de primera vista cuando un archivo no pertenece a WordPress.

Además tienes ésta página para verificarlo.

Si hay alguno por ahí, se debería eliminar inmediatamente.

Si no se elimina, servirá para seguir con el hackeo de la web o para infectar otras.

Yo siempre, siempre, recomiendo eliminar todo archivo que no se necesite.

Cuantos más archivos.

Obviamente más espacio ocupas en el hosting.

Pero lo peor es que se puedan usar para realizar éste tipo de cosas.

Lo que no sirva, quítalo.

Códigos raros en archivos

Puede que si tienes ciertos conocimientos.

Te dé por revisar archivos para editarlos.

Y en algún archivo de esos te encuentres algún código raro.

Para que lo sepas.

Los códigos inyectados y maliciosos suelen estar codificados en base64.

Así que si en alguna ocasión te encuentras alguno con éste tipo de caracteres.

Ve pensando que casi seguro tu sitio está hackeado y hay que hacer limpieza.

Desde un plugin de seguridad

Wordfence

Wordfence

Wordfence es un plugin que te ayudará con ésta búsqueda de códigos maliciosos.

Con él puedes hacer un escáner y comparar tus archivos de WordPress, temas y plugins con los oficiales y verificar si algo ha cambiado.

Además en ese mismo escaneo comprueba vulnerabilidades, malware y muchas cosas más para que protejas tu WordPress.

Yo lo he estado usando mucho, aunque ya lo estoy cambiando por otro del que ya hablaré en otra ocasión.

Te lo recomiendo si necesitas proteger tu sitio web.

Además de necesario si quieres cuidar la salud y el SEO de tu web.

Anti-Malware Security and Brute-Force Firewall

Anti-Malware Security and Brute-Force Firewall

Éste es otro plugin que puedes usar para complementarlo con el anterior.

Gotmls te hace un escáner en busca de malware y todo tipo de bichos.

Realmente con uno de los 2 podrías tener.

Aunque es mejor tener 2 opiniones en vez de una, ¿no?

Lo que debes acordarte para usar éste plugin es actualizar la base de datos antes de hacer un escáner.

Pierdes un minuto, pero es importante de que el plugin esté actualizado.

Puede que un día de éstos haga una revisión completa de alguno de éstos.

O del que estoy usando nuevo.

Desde Google Analytics

Deberías de instalar Google Analytics en tu WordPress o un sistema similar para controlar las visitas de tu web.

Aunque sea un sistema de analítica, además puede avisarte de algún modo si te ocurre este hecho.

Si te das cuenta que llevas unos días que las visitas han bajado mucho ya sabes que pasa algo.

No suele haber caídas notables a no ser que hayas hecho algún cambio extraño o te hayan penalizado.

¿Qué le pasa a mis conversiones?

Si empiezas a tener menos comentarios, menos clientes y menos de todo, según el tipo de web que tengas.

Obviamente hablo de una bajada repentina, no se las típicas bajadas y subidas que tiene cualquier web.

Este puede ser un motivo preocupante porque Google suele mostrar el cartel de este sitio es peligroso cuando una web sufre un hackeo y la gente no entra.

O si no es así, puede que tus usuarios vean cosas raras al entrar, porque pueden que te hayan inyectado código.

Con Search Console

Pero si hay un método infalible para detectar una web a la que han hackeado, es desde el panel de Search Console de Google.

En cuanto tu web dé indicios de que hay algo raro, bajarán tus visitas y te mandará un correo diciéndote que hagas algo.

Por eso siempre repito que hay que dar de alta la web en Google y estar atento a sus mensajes si no queremos perder posicionamiento SEO.

Search Console problemas de seguridad

¿Cómo desinfectar una web WordPress?

Bueno, para explicarte esto necesitaría un tutorial solo para esto y además muy largo.

Pero voy a darte unos apuntes que te serán de utilidad:

  1. Lo primero haz una copia de seguridad de tu web. Yo te recomiendo usar UpdraftPlus.
  2. Haz un scanner externo con herramientas como por ejemplo Sucuri.
  3. Escanea tu web con Wordfence para que compruebe si hay archivos infectados.
  4. Lo mismo pero con el plugin Anti-Malware Security and Brute-Force Firewall (gotmls). Este maravilloso plugin detectará archivos infectados que se les ha pasado a otros plugins.
  5. Revisa los permisos de todos los archivos y ponlos correctamente.
  6. Descarga la versión nueva de la que tenías de WordPress y plugins y sustituye todas las carpetas por las nuevas.
  7. Vuelve a hacer un análisis de la web con las herramientas para comprobar que todo está bien.
  8. Avisa a Google que tu web ya no es peligrosa y en unas horas te quitará el aviso.
  9. Solo en caso de que tu hosting te haya limitado el acceso, contacta con ellos y avísales que tu web ya está limpia.

Como puedes ver, no es que sea una tarea sencilla, pero tampoco del otro mundo.

En cuestión de un par de horas tendrás solucionado el problema y tu web estará al 100% de nuevo.

El último paso es el más importante dado que si no avisas a Google es como si no hubieras hecho nada.

Así que no se te olvide.

Ya he desinfectado mi web, ¿ahora qué pasará?

Bueno, desde mi experiencia después de haber hecho esto en multitud de ocasiones.

Y que por suerte nunca ha sido en ninguno de mis proyecto porque me tomo muy en serio la seguridad.

Es que esto es como cualquier enfermedad.

Si lo coges a tiempo y tomas las medidas necesarias hasta no notarás ningún cambio.

A corto plazo

Si te das prisa y lo haces bien no hay problema porque Google te da tiempo suficiente para arreglarlo sin perder tráfico.

Eso sí, nadie te va a quitar la mala impresión que has dado a tus usuarios y las ventas que has perdido por el camino.

Perderás solo el tráfico, ventas y demás de ese día o esos días en los que te ha surgido el problema.

A largo plazo

Lo malo es cuando no te das cuenta y pasa el tiempo.

Ahí es cuando debes de preocuparte porque sí que puedes ser penalizado.

Si dejas que tu web siga hackeada y no le das solución puede que Google tome cartas en el asunto y te lleves una penalización.

Aquí sí que te va a costar trabajo recuperar las visitas que has perdido.

Si te pasa no dejes lo dejes más de 2 o 3 días.

Más vale prevenir, que curar

No puedo terminar este artículo sin darte unos consejos para que protejas tu web.

Antes de nada debes de aprender porqué hackean tu web y como combatirlo.

  1. Usa un hosting seguro: muchos de los hackeos es porque el hosting no se preocupa de la seguridad de sus usuarios.
  2. Usa plugins de seguridad: como ves, aparte de ayudarte a limpiarla te avisan si pasa algo.
  3. Protege el login de WordPress: es atacado a diario y debes de protegerlo como mínimo con un Captcha.
  4. Quita ya el usuario admin: este nombre de usuario es el que más atacan, así que no debe de existir en tu web.
  5. Usa contraseñas seguras: números, símbolos, etc. Si no quieres complicarte las puedes guardar en el navegador o un gestor de contraseñas como LastPass.
  6. Elimina plugins y temas que no uses: cuantos más archivos tenga tu web, más posibilidades hay de que sea hackeada.
  7. Todo siempre actualizado: las actualizaciones cubren fallos de seguridad y por eso se deben de ir haciendo regularmente.
  8. Haz análisis regulares: revisa cada x tiempo si tu web sigue bien.

Resumiendo

Ya has visto que la seguridad es parte del SEO y no debes dejarla.

No te digo que seas un paranoico y conviertas tu WordPress en un bunker que hasta a ti te cueste entrar.

Pero sí deberías de tomar ciertas medidas para evitar esto a toda costa.

En modo resumen:

  • Da de alta tu web en Search Console para estar al día de su salud.
  • Revisa cada x tiempo los reportes de visitas, altas, ventas, etc. por si ves algo raro.
  • Protege tu web con todo lo que puedas.
  • Si has sido hackeado toma medidas lo antes posible.
  • Más vale prevenir, que curar.

Y tú, ¿has sido hackeado alguna vez? ¿Te han llegado a penalizar?

Foto: https://es.123rf.com/profile_rawpixel

2 comentarios en “Cómo afecta al SEO que tu web WordPress sea hackeada y qué medidas tomar si te pasa”

  1. Pues sí, Raúl, la gente que encargar webs no acaba de hacerse a la idea de que por querer ahorrarse unos euros al principio, se acaban gastando muchos más después y encima pierden un montón de tiempo (y a veces hasta de reputación).

    ¡Imagínate una web donde vendes productos y servicios hackeada!

    1. Hola Teresa!

      Pues si, la verdad es que hay mucho descuido en el tema de la seguridad. En el caso de negocios automáticos como las webs, el tiempo que se pierde, es mucho dinero. Más vale prevenir que curar.

      Si es una tienda, dejas de vender. Si es la web de un profesional, lo mismo en ese momento entraba un cliente a contratarte. Por eso es tan importante tenerlo todo al día, ya lo hagas tú, o te lo hagan otros.

      Un abrazo!

Los comentarios están cerrados.