Pregunta sobre Arreglando WordPress de Wordpress:

Aparece un texto extraño en la búsqueda de Google

Un usuario preguntó 👇

Un usuario del sitio web de WP al que sigo me informó que si creaba Google para el sitio, resultaría en un texto en árabe sorprendentemente atractivo. Este texto no parece estar en las páginas a las que se refiere la búsqueda, ni en ningún código que veo, como persona. Copié algo del árabe, lo usé para hacer una búsqueda en Google y luego traduje los resultados, que parecen obtener muchos resultados relacionados con las opciones binarias y algunos de ellos con Keith Jones. ¿Se pregunta si alguien tiene alguna idea sobre esto y cómo eliminarlo / prevenirlo? Para obtener información, este es un sitio de WordPress y escanea limpiamente usando WordFence AV y Sucuri. Curiosamente, si visito este sitio disfrazado de Googlebot, veo el texto extraño en toda la página de inicio y muchos / muchos más. He intentado deshabilitar todos los plugins y cambiar el nombre de los archivos .htaccess (temporalmente) pero esto no ha hecho ninguna diferencia. Muchas gracias por las sugerencias.

Este tema fue modificado hace 3 años, 5 meses por.

(@sterndata)

Moderador del foro y voluntario del equipo de apoyo

Hace 3 años, 5 meses

Respire profundamente y siga esta guía con atención. Una vez que haya terminado, es posible que desee implementar algunas (si no todas) de las medidas de seguridad recomendadas.

Si no puede limpiar su sitio / sitios con éxito, existen organizaciones acreditadas que pueden limpiar sus sitios por usted. Sucuri y Wordfence son gemelos.

(@ michael-walker)

Hace 3 años, 5 meses

Gracias Steve. Me temo que todo eso se hizo hace muchos meses, pero aún así de alguna manera. Mis investigaciones sugieren que esta es una inyección SQL en la base de datos de WP. ¿Conoce alguna herramienta que pueda ayudarme a buscar códigos potencialmente maliciosos? Busqué los archivos .js obvios: base64, BLOB, sospechoso, pero no encontré nada. Es un sitio bastante grande, incluso el volcado de texto de la base de datos es de 191 MB, por lo que cada línea de código se examina manualmente cerca de la consulta. Gracias por cualquier sugerencia.

(@supporthero)

Hace 3 años, 4 meses

@ michael-walker

Parece que todavía necesitas ayuda. Puedo ver spam y enlaces de texto en el sitio. Se trata de spam de SEO condicional, dirigido a un agente de usuario de Googlebot. Confirmé esto.

Esta no es una inyección de SQL, requiere PHP para mostrar dinámicamente este spam cuando Googlebot visita su sitio. Entonces el código está en archivos PHP.

Supongo que ha eliminado todos los archivos principales y los ha reemplazado con una copia nueva, solo para asegurarse de que el núcleo esté limpio según lo que ya ha dicho. Así que centrémonos en el directorio de contenido de wp.

Dado que todos los análisis se realizan de forma limpia, tendremos que solucionar algunos problemas manualmente para reducir nuestra búsqueda de archivos infectados. Para verificar que el spam ha desaparecido, usaremos esta herramienta de escáner gratuita para ayudarnos a «convertirnos» en Google: https://aw-snap.info/file-viewer/

Importante, asegúrese de que «Google» esté dirigido a «Redirector» y que el agente de usuario tenga «Googlebot». Esto es importante, de lo contrario no verá el texto no deseado.

Ejecute su primer escaneo en una página infectada, para que sepa qué buscar. Su página de inicio contiene texto no deseado, por lo que puede usar esa página. Ahora, solucionemos el problema.

Asegúrese de hacer una copia de seguridad de su sitio y base de datos antes de continuar.

1. Primero revisamos los archivos de su tema. Simplemente instale un tema del repositorio de WordPress.org, cualquier tema servirá. Y actívalo. Esto será temporal. Después de activar, borre los fondos que pueda tener y escanee la página nuevamente. Si aún ve texto no deseado, entonces su tema está limpio. Reactiva tu tema original.

Si el tema es la fuente de la infección, recomendaría descargar una copia nueva del tema TwentyTen del repositorio de WordPress.org, eliminar completamente los archivos de temas infectados y cargar una copia nueva.

2. Ahora verifique los plugins. Desactive todos los plugins, ya sea dentro de WP admin o cambiando el nombre de un directorio de plugins a otra cosa. Una vez que todos estén desactivados, vuelva a ejecutar el análisis en una página infectada. Si el texto no deseado se ha ido, es uno de sus plugins. Ahora, comience a activar los plugins uno por uno, escaneando una página infectada después de cada plugin. Una vez que haya regresado el texto no deseado, sabrá exactamente qué plugin está infectado. Elimine los archivos y vuelva a instalar ese plugin del repositorio de WordPress.org o descárguelo del sitio web del autor (si es un plugin premium).

Si aún no ayuda a resolver el problema, intente el mismo enfoque para la carpeta «uploads». El código probablemente no existe, pero como último recurso, compruébalo.

Si todavía está allí al final, regrese y hágamelo saber. Veremos qué más podemos hacer para encontrarlo y eliminarlo.

^ V.

(@ michael-walker)

Hace 3 años, 4 meses

Gracias por interesarte. Ahora probé todos los pasos que sugieres, pero desafortunadamente el problema aún existe. Como ahora estoy presentando algunas ideas, agradeceríamos cualquier otra sugerencia.

(@supporthero)

Hace 3 años, 4 meses

@ michael-walker

Bien, si está en el alojamiento cPanel, verifique si tiene habilitado el Escáner de virus. Si es así, intente escanear sus archivos y vea si surge algo. Si no hay una opción de escáner de virus, comuníquese con su anfitrión y pídale que escanee sus archivos en busca de virus.

¿Hay otros sitios web en esta cuenta? Por ejemplo, otros sitios WP dentro del directorio «public_html». Es común para planes de hospedaje multidominio.

^ V.

(@ michael-walker)

Hace 3 años, 4 meses

Gracias por su continua ayuda. Mi anfitrión ha completado un escaneo y no puede encontrar nada. Este sitio tiene recursos con otros dos; ambos están basados ​​en WP pero no parecen estar infectados. Si instalo un puñado de tablas limpias predeterminadas de WP con un prefijo diferente y luego les notifico de mi antigua instalación de WP modificando el archivo wp-config, el problema desaparecerá. Por eso sospeché que la fuente del problema era una fuente dentro de las SS.

(@supporthero)

Hace 3 años, 4 meses

@ michael-walker

Para saber si la base de datos contiene texto no deseado, puede exportar su base de datos como un archivo SQL. A continuación, ábralo en el editor de texto de su computadora y busque el texto no deseado que vio en sus páginas. Vea si puede encontrar ese texto no deseado en su archivo de base de datos.

No puede eliminarlo del archivo, pero le ayudará a ver si está en su base de datos. Si lo encuentra en su base de datos, puede reducirlo dentro de phpMyAdmin. Los datos en serie dificultan la eliminación de objetos de la base de datos. Hay que tener cuidado.

Avíseme si encuentra algo en su base de datos.

(@ michael-walker)

Hace 3 años, 4 meses

No encuentro el texto basura como ese, por lo que ahora me pregunto si podría codificarse de alguna manera. He intentado revisar referencias sospechosas de blob o Base64, pero hasta ahora no has tenido suerte. ¿Conoce alguna herramienta que pueda ayudarme a hacer esto?

(@sterndata)

Moderador del foro y voluntario del equipo de apoyo

Hace 3 años, 4 meses

¿Tiene instalado el plugin WordFence? Configure sus opciones de escaneo para que sean muy ágiles y ejecute un escaneo de su sitio.

(@ michael-walker)

Hace 3 años, 4 meses

Gracias Steve. Sí, como ya se mencionó, ejecuté los escaneos de WordFence y Sucuri sin éxito.

(@supporthero)

Hace 3 años, 4 meses

@ michael-walker

Lo más probable es que en algún lugar de los archivos PHP. Todo lo que puede hacer es comprimir su carpeta public_html con todos los archivos, descargarla a su computadora y luego usar el antivirus gratuito ClamWin para escanear los archivos. ClamWin utiliza un motor ClamAV gratuito, que es lo que también incluye cPanel. Es posible que pueda obtener un ritmo.
http://www.clamwin.com/

Es posible que la base de datos predeterminada firmada no sea suficiente para capturarla. Recomendaría obtener estas firmas gratuitas para aumentar el rango de detección de malware. Obtengo estas firmas de SecuriteInfo mayor tasa de detección (sin conexión aquí).
https://www.securiteinfo.com/services/anti-spam-anti-virus/improve-detection-rate-of-zero-day-malwares-for-clamav.shtml?lg=en

Si aún no encuentra nada, puede ser una buena idea contratar a alguien que pueda revisar todo y encontrar la fuente de la infección.

^ V.

(@ michael-walker)

Hace 3 años, 4 meses

Gracias de nuevo por tu consejo.

Probablemente en algún lugar de los archivos PHP.

Esa fue también mi opinión original. Sin embargo, eliminé por completo las carpetas wp-include y wp-content y las reemplacé con nuevas opciones de descarga. También se cambió el nombre de la carpeta wp-content (y luego creé una nueva, vacía en lugar de mi tema) y el problema aún existe. La única forma en que he podido deshacerme de él hasta ahora es modificar mi archivo de configuración para que se dirija a un conjunto diferente de tablas de base de datos (es decir, tablas WP estándar, recién instaladas, pero con un prefijo diferente).

¿Puedo pedirle que aclare algo, por favor? Tengo ClamWin instalado como se recomienda y recibí un conjunto de firmas de SecuriteInfo, un archivo con el sufijo ‘.hdb’. Las instrucciones me dicen que lo ‘instale’ en el sitio de datos del programa / .Clamwin / db. ¿Esto solo significa copiarlo / pegarlo en esa carpeta, o hay algo más que deba hacer? La ubicación no parece muy clara en este momento.

(@supporthero)

Hace 3 años, 4 meses

@ michael-walker

Bien, simplemente cópielos / péguelos en esa carpeta. Si su ClamWin está abierto, reinícielo para que use nuevas bases de datos de firmas.

También recomendaría escanear el archivo SQL de la base de datos. Quizás atraparía algo. ClamWin agrega una opción al menú contextual (clic derecho) con «Escanear con ClamWin» para que pueda escanear archivos individuales.

Además, intente ejecutar un archivo SQL a través de VirusTotal. Algo podría atraparse.
https://www.virustotal.com/

^ V.

(@ michael-walker)

Hace 3 años, 4 meses

Gracias. Me temo que ClamWin no mostró nada, y Total Virus tampoco. Creo que estoy llegando tan lejos que podría tener que pensar en reinstalar, aunque no me gusta dejar que estas personas me golpeen. Además, por supuesto, si no averiguo cuándo / cómo / dónde entraron, pueden volver a hacerlo fácilmente. ¿Alguna buena herramienta de migración de sitios? 🙂

(@supporthero)

Hace 3 años, 4 meses

¿Sigue viendo ese texto no deseado en su sitio? Aparte de los resultados de Google, ¿todavía está en su sitio? Revisé algunas páginas que tenían texto en árabe, pero ahora no lo son. Entonces, tal vez se eliminó porque estábamos trabajando en ello.

Los resultados de Google tardan un poco en actualizarse, por lo que aún se muestran. Pero puede que no haya nada más en el sitio real.

¿Utiliza el plugin Display Widgets por casualidad? Se ha eliminado del repositorio para difundir spam malicioso.
https://wptavern.com/display-widgets-plugin-permanently-removed-from-wordpress-org-due-to-malicious-code

Dos buenos plugins para la migración son: https://en-ca.wordpress.org/plugins/all-in-one-wp-migration/ https://en-ca.wordpress.org/plugins/duplicator/

Utilizo una versión premium de UpdraftPlus para copias de seguridad y migración.

^ V.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada.