Inicio » Blog

¿Pantalla Roja de Google en su Sitio web? Como verificar y solucionar el problema25, Oct

Hoy por hoy los sitios web son cada vez mas vulnerables a ataques informáticos o archivos con codificación fraudulenta; sin embargo los ataques muchas veces son provocados por nosotros mismos quienes no realizamos actualizaciones requeridas o mantenciones correspondientes para evitar posibles ingresos de códigos erróneos y dañinos a nuestro sitio web. 

¿Por qué aparece el error “El sitio al que vas a acceder contiene programas dañinos” en tu sitio? (Pantalla roja)
Antes de comenzar con la explicación sobre cómo solucionar el problema es importante que entiendas la causa del mismo. Primero, necesitas tener en cuenta algunas variantes de este error:

(Con o sin pantalla roja):
El sitio web es engañoso.
El sitio web ha sido marcado como un sitio de phishing.
El sitio web contiene malware.

En la gran mayoría de las veces estos errores aparecen cuando el sitio ha sido hackeado. El hackeo puede ser una simple infección o puede ser un ataque muy sofisticado y peligroso. Además, suele introducir un virus al sitio web, el cual se puede transmitir a los usuarios del sistema cuando visiten tu sitio.

Google pone mucha atención a estos sitios y los marca como sitios sospechosos o poco seguros. Además de sitios hackeados, Google también marca los sitios de los que sospecha que tienen un malware o que intentan robar identidad.}

¿Como saber si mi sitio web está infectado?

Ingresa en https://sitecheck.sucuri.net copia tu URL (ej. https://www.benzahosting.cl) y espera el resultado de escaneo, si todo sale bien deberías ver una pantalla como la siguiente: (Te explicamos los detalles de búsqueda más adelante)

¿Como solucionamos el problema?

1.- Busca el Malware

Puedes utilizar nuestra herramienta gratuita, SiteCheck de Sucuri, para escanear tu sitio y encontrar cargas maliciosas, ubicaciones de malware, problemas de seguridad y el estado de tu sitio respecto a las listas negras de autoridades confiables.

Para escanear tu sitio web en busca de hacks y advertencias de listas negras utilizando SiteCheck de Sucuri, sigue estos pasos:

  1. Visita el sitio web de SiteCheck de Sucuri e ingresa la URL de tu sitio web.
  2. Haz clic en Scan Website.
  3. Si el sitio web está infectado, apunta las cargas y ubicaciones de archivos encontradas por SiteCheck.
  4. Haz clic en Blacklist Status para ver si tu sitio está en la lista negra de otras autoridades.

Si SiteCheck es capaz de encontrar una carga maliciosa, esto puede ayudarte a reducir tu búsqueda. La siguiente sección de esta guía te ayudará a inspeccionar tu sitio de forma manual en busca de elementos sospechosos. También puedes utilizar otras herramientas, como por ejemplo, UnmaskParasites.

2.- Eliminar Infecciones en Archivos

Para poder eliminar el malware de manera completa, debes ser capaz de editar los archivos en tu servidor. Si no te sientes cómodo haciendo esto, busca profesionales que te puedan ayudar a limpiar tu sitio web.

Reemplazo de Archivos

Si utilizas un CMS como WordPress o Joomla! Puedes reconstruir el sitio utilizando copias de los archivos núcleo y extensiones de los repositorios oficiales. Los archivos personalizados pueden ser reemplazados con copias de seguridad recientes, siempre y cuando no estén infectadas.

Cargas Maliciosas o Dominios Infectados

Si SiteCheck te indica en la Página de Diagnóstico cualquier dominio o carga maliciosa, puedes empezar a buscar esos archivos en tu servidor. La fecha de descubrimiento también te puede ayudar a filtrar archivos modificados cerca de esa fecha.

Para eliminar la infección de malware de los archivos de tu sitio web de manera manual, sigue estos pasos:

  1. Inicia sesión en tu servidor vía SFTP o SSH.
  2. Crea copias de seguridad de tu sitio web antes de realizar cambios.
  3. Busca en tus archivos cualquier referencia a los dominios o cargas maliciosas que anotaste.
  4. Identifica archivos recientemente modificados o no familiares.
  5. Restaurar archivos sospechosos con copias del repositorio oficial o de una copia de seguridad limpia.
  6. Reproduce cualquier personalización en tus archivos.
  7. Haz pruebas para verificar que el sitio web todavía esté operacional después de los cambios.

Los hackers cambian los sitios maliciosos con frecuencia para evitar la detección. Como resultado, la página de diagnóstico de Google puede mencionar dominios maliciosos o intermediarios que ya no van ser encontrados en tu sitio, y que posiblemente fueron reemplazados por nuevos dominios maliciosos.

Si no puedes encontrar el contenido malicioso, haz una búsqueda en Internet de los dominios listados en la página de diagnóstico. Hay probabilidades de que alguien más haya resuelto cómo es que estos dominios están involucrados en la explotación de sitios web.

 

3.- Limpia las Tablas Hackeadas de la Base de Datos

Para eliminar la infección de malware de la base de datos de tu sitio web, utiliza el panel de administración de la base de datos. En cPanel, la mayoría de las compañías de alojamiento o hosting ofrecen PHPMyAdmin. También puedes utilizar herramientas como Search-Replace-DB o Adminer.

Para eliminar la infección de malware de las tablas de la base de datos de manera manual, sigue los siguientes pasos:

  1. Inicia sesión en el panel de administración de tu base de datos.
  2. Realiza una copia de seguridad de tu base de datos antes de realizar algún cambio.
  3. Busca contenido malicioso (por ejemplo, palabras clave o enlaces de spam).
  4. Abre la tabla que contiene contenido sospechoso.
  5. Remueve cualquier contenido malicioso de manera manual.
  6. Prueba para verificar que el sitio todavía esté operacional luego de realizar los cambios.
  7. Elimina cualquier herramienta de acceso a la base de datos que hayas subido a tu servidor.

También puedes buscar funciones PHP que son comúnmente utilizadas para motivos maliciosos, como por ejemplo, eval, base64_decode, gzinflate, preg_replace, str_replace, etc. Toma en cuenta que estas funciones también son utilizadas por plugins por motivos legítimos, así que asegúrate de probar tus cambios o de obtener ayuda para que no rompas tu sitio web de manera accidental.

 

4.- Prevén Reinfecciones

Los hackers siempre dejan una manera de regresar a tu sitio web.

La mayoría de las ocasiones encontramos múltiples puertas traseras (backdoors), usuarios administradores maliciosos o vulnerabilidades descuidadas.

Cuentas de Usuarios

¡No descuides las cuentas de usuarios!
Las contraseñas robadas pueden permitirle a los hackers retomar el control de tu sitio web.

Pasos para limpiar las cuentas de usuarios:

  1. Confirma que todas las cuentas de usuarios en tu sitio web son válidos:
    • Usuarios del CMS
    • Usuarios FTP/SFTP/SSH
    • Panel de administración de la base de datos (PHPMyAdmin, etc.)
    • Cuentas de cPanel
    • Credenciales de acceso a la cuenta de alojamiento web
  2. Cambia las contraseñas para todos los usuarios.
  3. Habilita Autenticación de dos factores (2FA) si está disponible.

Los hackers cambian los sitios maliciosos con frecuencia para evitar la detección. Como resultado, la página de diagnóstico de Google puede mencionar dominios maliciosos o intermediarios que ya no van ser encontrados en tu sitio, y que posiblemente fueron reemplazados por nuevos dominios maliciosos.

Precaución

  • Estas funciones pueden ser utilizadas de forma legítima por plugins, asegúrate de probar cualquier cambio porque puedes romper tu sitio al eliminar funciones benignas.
  • La mayoría del código malicioso que vemos utiliza algún tipo de codificación para evitar la detección. A parte de los componentes premium que utilizan codificación para proteger sus mecanismos de autenticación, es muy raro ver archivos oficiales de CMS codificados.

Muchas veces las puertas traseras están escondidas en archivos nombrados de manera similar a archivos núcleo del CMS, pero en los directorios equivocados. Los atacantes también pueden inyectar puertas traseras en archivos legítimos.

Las puertas traseras comúnmente incluyen las siguientes funciones PHP:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (with /e/)
  • move_uploaded_file

Es crítico que todas las puertas traseras sean cerradas para poder limpiar un hack de manera exitosa, de no ser así, tu sitio será reinfectado rápidamente.

Computación Segura

Es posible que las infecciones de malware salten desde tu computadora hasta tu sitio web utilizando CMS a través de aplicaciones de transferencia de archivos. Todas las computadoras que accedan a tu sitio web deben estar seguras. Asegúrate que todos tus usuarios escaneen sus computadoras con un programa de antivirus.

Aquí hay algunos programas de antivirus que recomendamos:

  • De Pago
    • BitDefender, Kaspersky, Sophos, F-Secure.
  • Gratis
    • Malwarebytes, Avast, Microsoft Security Essentials, Avira.

Comentarios

Opina con nosotros