COMO REMOVER NOTIFICACIONES DE SEGURIDAD DE SITIOS WEB

Verificar, arreglar y recuperar su sitio web notificado.

Google notifica a más de 10.000 sitios cada día. ¿Su sitio web está en la lista negra de Google? Para la mayoría de los propietarios de sitios web, las advertencias de seguridad, los indicadores de vulnerabilidades y las páginas de diagnóstico pueden ser desalentadores. Es difícil centrarse en la corrección de su sitio comprometido cuando todos sus visitantes están siendo bloqueados y se les impide el acceso a su sitio. Hemos recopilado esta guía para ayudar a los webmasters a eliminar el hack y las advertencias de Google para que pueda restaurar su sitio web y recuperar sus visitantes, sus ingresos y su SEO.

Gran Canaria • España • Casa de
Guilherme - Analista del Firewall de Sucuri

Indicadores Comunes de Notificaciones de Google

  • Página roja impide que los visitantes accedan el sitio web
  • Los resultados de Google muestran la notificación "This site may be hacked"
  • Campañas Active AdWords fueron sospendidas
  • Notificaciones de "Reported phishing" o "Deceptive site"
  • Host suspende el sitio web por actividad maliciosa
  • Palabras clave de spam o redirección de URL a Google

Paso 1

REVISIÓN DEL STATUS DE LA NOTIFICACIÓN

1.1 Identificación de las Notificaciones de Seguridad

Su sitio web está en la lista negra porque Google ha escaneado su sitio web y detectado un comportamiento perjudicial. Google necesita proteger a sus usuarios contra sitios web maliciosos que aparecen en los resultados de búsqueda. De hecho, los sitios web que están en la lista negra en varias ocasiones por el comportamiento malicioso se limitan a sólo una revisión cada 30 días. Esta página roja grande (y advertencias cerca de su sitio web en los resultados de búsqueda de Google) está diseñada para evitar que los visitantes tengan acceso a su sitio web. Eso también funciona. Los sitios web pierden alrededor del 95% de su tráfico cuando entran en la lista negra de Google.

Si usted ve notificaciones de seguridad al intentar acceder al sitio web:

  1. Revise las imágenes abajo y las notificaciones de listas negras más comunes de Google.

  2. Identifique el tipo de aviso que usted ve en su sitio web.

  3. Siga esa guía para arreglar problemas de seguridad e pedir una revisión.

Avisos de Listas Negras Comunes
  • The website ahead contains malware
  • Danger malware ahead
  • The site ahead contains harmful programs
  • The site ahead contains malware
  • Reported attack page
  • Suspected malware site
  • This website has been reported as unsafe
  • Deceptive site ahead
  • Suspected phishing site
  • Website request forgery
  • This site may be hacked
  • This site may harm your computer
  • Unwanted software

El mensaje de aviso específico en su sitio web puede ayudar a entender lo que Google quiere mostrar sobre el tipo de problemas de seguridad que se encuentran en su sitio web. Esta información será útil en las secciones de esta guía.

Observación

La advertencia específica variará en función de su navegador o antivirus. Si usted reconoce cualquiera de las imágenes a continuación, su sitio web está en la lista negra y se puede utilizar la sección Información de diagnóstico para saber más.

Notificaciones de Malware de Sitios Web

Estos son algunos ejemplos de advertencias de malwares comunes para sugerir que su sitio web ha sido hackeado y está sirviendo descargas maliciosas, como virus, spyware, rootkits y ransomware. La mayoría de los navegadores utilizan la API de lista negra de Google, pero Microsoft (IE/Edge) tiene su propia API de lista negra. Las siguientes imágenes son ejemplos de este tipo de advertencia de lista negra en navegadores populares.

The site ahead contains malware:

Google Chrome blacklist warning says The site ahead contains malware

Chrome usa la advertencia "The site ahead contains malware"

Haga clic para Visualizar

Reported attack page:

Firefox blacklist warning says Reported Attack Page

Firefox muestra "Report Attack Page" para el sitio web peligroso

Haga clic para Visualizar

Suspected Malware Site

Safari blacklist warning says Suspected Malware Site

Safari muestra esa advertencia cuando detecta un "Suspected Malware Site"

Haga clic para Visualizar

This website has been reported as unsafe:

IE blacklist warning says This website has been reported as unsafe

Mensaje del IE / Edge cuando "website has been reported as unsafe"

Haga clic para Visualizar
Notificaciones de Phishing de Sitio Web

Hay una serie de advertencias de phishing, lo que significa que sus visitantes están siendo engañados para que revelen información personal, como contraseñas y datos de tarjetas de crédito. Estas advertencias de Google también pueden significar que su sitio web contiene anuncios maliciosos o malvertising. El nuevo aviso de software no deseado puede indicar anuncios maliciosos o fraude.

Deceptive Site Ahead

Google Chrome phishing warning says Deceptive Site Ahead

Chrome notifica "Deceptive site ahead"

Haga clic para Visualizar

Deceptive Site!

Firefox phishing warning says Deceptive Site

Firefox muestra "Deceptive Site!"

Haga clic para Visualizar

Suspected Phishing Site

Safari phishing warning says Suspected Phishing Site

Safari alerta "Suspected Phishing Site"

Haga clic para Visualizar
Notificaciones da Búsqueda de Google

Cuando su sitio web aparece en Google, las advertencias en las páginas de resultados del motor de búsqueda (SERPs) muestran si se detectan spam o rediricciones en su sitio web. Estas advertencias también aparecen si su sitio web hackeado se utilizó para infectar a los visitantes con malware drive-by-downloads. Si su sitio web no muestra la página de advertencia roja, pero estas advertencias aparecen en los resultados de búsqueda, puede indicar que los scripts maliciosos e iframes se están cargando desde sitios web de terceros.

This site may be hacked:

Google search shows this site may be hacked

Google notifica "this site may be hacked" si sus páginas web tienen spam de SEO o hacks.

Haga clic para Visualizar

This site may harm your computer:

Google search shows this site may harm your computer

Google notifica "this site may harm your computer" si su sitio web parece descargar malaware intencionalmente

Haga clic para Visualizar

Nota

La mayoría de las listas negras de navegadores usan la API de lista negra de Google. Para más informaciones, visite las páginas de ayuda de Google..

1.2 Revise las Páginas de Diagnóstico

Cada una de estas páginas de advertencia rojas se conecta a otra página que describe por qué el sitio está en la lista negra de Google. El botón principal que aparece en la página es para los visitantes y a menudo se lo muestra algo como: me saque de aquí o vuelva a navegar con seguridad - pero siempre hay otro link para el propietario del sitio web.

Para encontrar su Página de Diagnóstico de Google:

  1. Visite el sitio web Google Transparency Report.

  2. Escriba la URL de su sitio web

  3. Revise los Detalles de Seguridad del Sitio Web y los Detalles de la Prueba usando esta guía

Detalles de la Seguridad del Sitio Web

En el informe, se pueden encontrar sitios web peligrosos - dangerous websites, en los cuales se detecta el contenido malicioso en su sitio web. Observe estas URLs que le será útil para eliminar el malware de su sitio web.

Esto indica rastros de dominios maliciosos en su sitio web. Puede ser un iframe oculto, un script externo o un cambio de dirección no autorizada. Mire estos nombres de dominio para escanearlos en la sección abajo.

Esta sección también incluye información sobre si su sitio web está mostrando redirecciones maliciosas o descargas alojadas en su servidor.

Detalles de Pruebas

A continuación, busque la fecha de escaneo - scan date (cuando Google escaneó recientemente su sitio web) y la fecha del descubrimiento (cuando se detectó el contenido sospechoso).

Estas fechas pueden ayudarle más adelante al analizar archivos que han sido modificados recientemente.

Si ha intentado limpiar su sitio web, pero la fecha del proceso de escaneo es más reciente, ello significa que Google cree que su sitio web aún está infectado.

1.3 Buscando por Malware

Se puede utilizar nuestra herramienta gratuita, Sucuri SiteCheck, para escanear su sitio web y encontrar payloads maliciosos, donde se ubica el malware, problemas de seguridad y listas negras.

Para usar Sucuri SiteCheck para encontrar malware:

  1. Visite el sitio web Sucuri SiteCheck y ponga la URL de su sitio web.

  2. Haga clic en Scan Website.

  3. Si el sitio web está infectado, analice los payloads y donde se encuentran los archivos encontrados por SiteCheck.

  4. Haga clic en Blacklist Status para saber si el sitio web está en las listas negras de otras autoridades.

Si SiteCheck encuentra una carga útil, esto ayudará a reducir su búsqueda. La sección abajo de esta guía le ayudará a revisar manualmente su sitio web en busca de elementos sospechosos. También puede utilizar otras herramientas tales como UnmaskParasites.

Nota

Si tiene varios sitios web en el mismo servidor, se recomienda escanear todos sus sitios web. La contaminación cruzada es una causa importante de reinfecciones. Los propietarios de sitios web deben aislar sus cuentas de alojamiento web y cuentas web.

Paso 2

ARREGLE LOS SÍNTOMAS DE LAS LISTAS NEGRAS

2.1 Remueva Infecciones de Archivos

Para llevar a cabo la eliminación completa de malware, usted debe saber editar archivos en el servidor. Si no puede hacerlo, deje que los profesionales limpien su sitio web.

Cuidado

Quitar manualmente el código "malicioso" de archivos del sitio web puede ser extremadamente peligroso. No haga nada sin una copia de seguridad. Si no está seguro de lo que estás haciendo, busque ayuda de un profesional.

Cambio de Archivo

Si utiliza un CMS como WordPress o Joomla, puede reconstruir el sitio web de forma segura, utilizando las nuevas copias de sus archivos principales y extensiones directamente desde los repositorios oficiales. Archivos personalizados pueden ser reemplazados por una copia de seguridad reciente, siempre que no está infectada.

Dominios y Payloads Maliciosos

Si SiteCheck o la Página de Diagnóstico indican dominios maliciosos o payloads, puede empezar a buscar estos archivos en el servidor. La fecha del descubrimiento también puede limitar la búsqueda a los archivos modificados en esa época.

Para remover la infección de malware de los archivos de su sitio web manualmente:

  1. Haga log in en su servidor vía SFTP o SSH.

  2. Crie un backup de su sitio web antes de hacer cualquier cambio.

  3. Busque en sus arquivos cualquier referencia a dominios o payloads maliciosos.

  4. Identifique cambios no familiares o archivos recién-cambiados.

  5. Restaure archivos sospechosos por copias del repositório oficial o por una copia limpia.

  6. Replique las personalizaciones hechas para sus archivos.

  7. Pruebe para verificar si el sitio web aún está funcionando después de los cambios.

Los hackers cambian sitios web maliciosos con frecuencia para evitar la detección. Como resultado, la página de diagnóstico de Google puede mencionar dominios maliciosos o intermediarios que no se pueden encontrar en su sitio web, pues han sido reemplazados por nuevos dominios.

Si no puede encontrar el contenido "dañino", busque los nombres de dominio que están en la página de diagnóstico. Lo más probable es que alguien ya haya descubierto la manera como estos nombres de dominio están involucrados en la explotación de sitios web.

Cuidado

No reescriba los archivos de configuración de su CMS. En WordPress, incluyen el archivo wp-config.php o wp-content. En Joomla, el archivo configuration.php y customizados.

2.2 Limpie las Tablas da Base de Datos Hackeadas

Para eliminar una infección de malware en su base de datos web, utilice el panel de administración de base de datos para conectarse. En cPanel, la mayoría de las empresas de hosting ofrecen phpMyAdmin. También puede utilizar herramientas como Search-Replace-DB o Adminer.

Para remover manualmente la infección de malware en las tablas da base de datos

  1. Entre en el admin panel de su base de datos (database).

  2. Haga una copia de seguridad de la base de datos antes de hacer cambios.

  3. Procure por contenido suspechoso (i.e., palabras-clave spammy, links).

  4. Abra la tabla que contiene el contenido suspechoso.

  5. Remueva manualmente el contenido sospechoso.

  6. Pruebe para verificar si el sitio web aún está operacional después de los cambios.

  7. Remueva todas las herramientas de acceso a la base de datos que usó (ha hecho el upload).

Utilice la información del payload proporcionada por el escáner de malware o busque funciones PHP maliciosas comunes, como eval, base64_decode, gzinflate, preg_replace, str_replace, etc. Tenga en cuenta que estas funciones también se utilizan en los plugins por motivos legítimos, a continuación, pruebe todos los cambios o busque ayuda para no destruir su sitio web accidentalmente.

2.3 Previna Reinfecciones

Los hackers siempre encontrarán una manera de volver a su sitio web. La mayoría de las veces, encontramos varios backdoors, los usuarios de administradores maliciosos y vulnerabilidades negligenciadas.

Cuentas de Usuarios

No se olviden de sus cuentas. Contraseñas robadas pueden permitir a los hackers entren en su sitio web.

Para limpiar sus cuentas de usuario:

  1. Confirme todas las cuentas de usuarios válidas:

    • Usuarios CMS
    • Usuarios FTP/SFTP/SSH
    • Paineles de administración de la base de datos (PHPMyAdmin, etc.)
    • Cuentas del cPanel
    • Logins del Host
  2. Cambie todas las contraseñas de todos los usuarios.

  3. Active (2FA) si posible.

Los hackers maliciosos cambian sitios web con frecuencia suficiente para evitar la detección. Como resultado, la página de diagnóstico de Google puede mencionar dominios maliciosos o intermediarios que ya no se pueden encontrar en su sitio web, ya que han sido sustituidos por nuevos dominios.

Backdoors

A menudo, backdoors se incorporan en archivos similares con los nombres de los archivos del core de la CMS, pero ubicados en el directorio equivocado. Los atacantes también pueden inyectar puertas traseras en los archivos legítimos.

Backdoors a menudo incluyen las siguientes funciones PHP:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • create_function
  • system
  • assert
  • stripslashes
  • preg_replace (with /e/)
  • move_uploaded_file

Es esencial que todas las puertas traseras estén cerradas para limpiar un hack con éxito, o su sitio web se volverá a infectarse rápidamente.

Cuidado

Estas funciones también se pueden utilizar legítimamente por los plugins, entonces, pruebe todos los cambios, porque usted puede destruir su sitio web si remueve funciones benignas.

La mayoría de los códigos maliciosos que vemos utiliza algún tipo de encriptación para evitar la detección. Además de componentes de alta calidad que utilizan el cifrado para proteger su mecanismo de autenticación, es muy raro ver encriptación en archivos oficiales del CMS.

Parchee las vulnerabilidades

Vulnerabilidades de Software son responsables por grande parte de los hackeos de sitios web.

Actualice todos sus software:

  • Archivos del CMS
  • Plugins
  • Temas
  • Extensiones
  • Software del Servidor

Si tiene dificuldad para actualizar su sitio web, le recomendamos un firewall de sitios web que incluya el parche virtual. Eso también puede evitar ataques de día cero contra su sitio web cuando ningun parche esté disponible.

Nota

También se puede buscar por vulnerabilidades en el código, siguiendo la guía del Google: Identifique la vulnerabilidad.

Proteja su Ordenador

Su sitio web se puede infectar a partir de su ordenador cuando se usa CMS y aplicativos de transferencia de archivos. Todos los ordenadores usados para acceder su sitio web deven estar seguros. Pida a sus usuarios que escaneen sus ordenadores con un programa de antivirus.

Recomendamos algunos programas de antivirus:

Nota

Tenga sólo un programa antivirus que protege su sistema para evitar conflictos. Si los equipos de los usuarios de WordPress no están limpios, su sitio web fácilmente puede volver a infectarse.

Paso 3

HAGA UNA REVISIÓ DEL GOOGLE

3.1 Tenga el Google Search Console

Para remover el aviso de lista negra, hay que informar al Google que se ha eliminado completamente la infección. Para hacerlo, hay que tener una cuenta en el Google Search Console (antes Webmaster Tools).

Para verificar la propiedad de su sitio web en Google Search Console:

  1. Abra el Google Webmaster Central.

  2. Haga clic en Search Console y entre en su cuenta de Google.

  3. Haga clic en Add a site.

  4. Digite la URL y Haga clic en Continue.

  5. Verifique si su sitio web está usando el Recommended method o Alternate methods.

  6. Haga clic en Add a site.

  7. Haga clic en Verify.

  8. Cheque la sección de Messages para revisar las notificaciones.

Otras Listas Negras

Google Safebrowsing no es la única lista negra de sitios web, pero muchas otras autoridades utilizan la API de Google para añadir sitios web maliciosos a sus propias listas negras. Una vez que su sitio web está en la lista negra de Google, es sólo una cuestión de tiempo hasta que se añada a otras listas negras.

Programas antivirus y otros motores de búsqueda también quieren advertir a los usuarios cuando un sitio web es peligroso. Cada uno tiene su propio console y proceso de revisión. Con el fin de eliminar su sitio web de estas listas, tiene que demostrar que su sitio web está limpio.

Si usted ha usado SiteCheck para escanear su sitio web en busca de malware en la primera etapa, los resultados indicarán si su sitio web ha sido bloqueado por otras autoridades. El proceso de revisión debe ser similar al de Google Webmaster Tools. Por ejemplo, McAfee cuenta con un formulario de envio de revisión. Bing y Yandex tienen sus propias herramientas para webmaster a las cuales se debe registrar.

Otras autoridades de listas negras populares:

  • McAfee SiteAdvisor
  • Bing Blacklist
  • Yandex Blacklist
  • Norton SafeWeb
  • PhishTank
  • SpamHaus
  • BitDefender
  • ESET

3.2 Petición de Revisión de Seguridad

Si no se solicita una revisión, Google puede pensar que usted no ha terminado de limpiar el sitio web. Al solicitar una revisión, se demuestra a Google que está listo para tener su sitio web escaneado de nuevo. Google se limita a repetir una solicitud de revisión cada 30 días. No trate de engañar a Google, ya que puede no pasar en el proceso de revisión. Por ejemplo, si el sitio web está vacío, no va a pasar en el proceso de revisión. Asegúrese de que su sitio web esté limpio antes de continuar.

Nota

En Sucuri, enviamos solicitudes de revisión de listas negras en su nombre. Esto ayuda a asegurar que su sitio web esté absolutamente listo para su revisión. Algunos comentarios, sin embargo, hacks de spam como resultado de las acciones manuales pueden tardar hasta dos semanas.

Para solicitar la revisión de su problema de seguridad para Google:

  1. Entre en la tab Security Issues en Search Console.

  2. Asegúrese de que todo está limpio.

  3. Marque la casilla para confirmar I have fixed these issues.

  4. Haga clic en Request a Review.

  5. Llene la información con tantos detalles como sea posible acerca de lo que se limpió.

Para solicitar la revisión de spam para Google:

  1. Entre en la tab Search Traffic no Search Console.

  2. Haga clic en Manual Actions.

  3. Asegúrese de que todo está limpio.

  4. Haga clic en Request a Review.

  5. Llene la información con tantos detalles como sea posible acerca de lo que se limpió.

El proceso será similar para otras listas negras, como McAfee, Bing, Yandex y Norton.

3.3 Proteja Su Marca

Después de enviar la solicitud de retirada de la lista negra, Google puede tardar unos días para revisar su sitio web.

Haga una solicitación para que Google Reescanee su Sitio Web

Si el título y la descripción de sus páginas web están infectadas con spam, puede tomar algún tiempo para que los resultados de la búsqueda se cambien de nuevo. Esto se debe a que Google rastrea su sitio sólo ocasionalmente. Afortunadamente, el webmaster puede pedir a Google para actualizar ciertas páginas y enlaces en estas páginas.

Para solicitar que Google a rastree (recrawl) su sitio web de nuevo:

  1. Entre en la tab Crawl en Search Console.

  2. Haga clic en Fetch as Google.

  3. Insirta su homepage o no escriba nada en el campo.

  4. Haga clic en Fetch.

  5. Haga clic en Submit to Index.

  6. Marque la casilla para confirmar I am not a robot.

  7. Escoja la opción para Crawl this URL and its direct links.

  8. Haga clic en Go.

Esto hará que Google rastree su página principal y los enlaces de esa página. Si usted tiene otras páginas que muestran en los resultados de búsqueda de Google con spam en el título y en la descripción, también se puede rastrear estas páginas por separado.

Nota

Google Search Console le permite rastrear 500 URL únicas por mes y sólo 10 con enlaces directos al mes. Estas 10 son los más utilizados para rastrear las páginas con muchos enlaces internos como un sitemap público o su homepage.

Remueva las URLs de Spam

Si las páginas de spam se han eliminado de su sitio web, ellas pueden haber sido indexada por Google. Las páginas de spam pueden crear errores 404 (no encontrados) cuando se las saca de su sitio web. Puede utilizar la herramienta de eliminación de URL (URL Removal Tool) para indicar a Google que estas páginas de spam deben ser removidos de su índice.

Para remover URLs de spam que causan errores 404:

  1. Entre en la tab Google Index do Search Console.

  2. Haga clic en Remove URLs.

  3. Haga clic en Temporarily Hide.

  4. Inserta las URLs de las páginas de spam que han sido removidas.

  5. Haga clic en Continue.

Cuidado

Esta herramienta elimina las páginas de búsqueda de Google. Esta opción es útil después de la eliminación de páginas de spam para que Google sepa que no son parte de su sitio web./p>

Protección para su Sitio Web

También debe tomar nuevas medidas para hacer hardening y proteger su sitio web. Esto incluye la aplicación de actualizaciones, mantener una buena estrategia de copias de seguridad de sitios web, administrar privilegios de usuarios e implementar controles de seguridad para sitios web.

El número de vulnerabilidades explotadas por atacantes crece día a día. Mantenerse informado es un reto para los administradores. Firewalls de sitios web fueron inventados para rodear su sitio web con un sistema de defensa profesional.

Beneficios de usar un firewall de sitios web:

  1. Prevenir un Hack Futuro

    Para detectar y detener los métodos y comportamientos de hacks conocidos, un firewall de sitios web mantiene su sitio web protegido contra infecciones.

  2. Actualización de Seguridad Virtual

    Los hackers explotan las vulnerabilidades de plugins y temas. Nuevas vulnerabilidades siempre aparecen (llamadas día cero). Un buen firewall de sitios web parcheará los defectos en software del sitio web, incluso si usted no ha hecho las actualizaciones de seguridad.

  3. Bloqueo de Ataques de Fuerza Bruta

    Un firewall de sitios web debe impedir que cualquier persona no autorizada acceda a su página wp-admin o wp-login, para asegurarse de que no puedan utilizar ataques automatizados de fuerza bruta para adivinar sus contraseñas.

  4. Mitigación de Ataques de DDoS

    Ataques de denegación de servicio distribuido intentan sobrecargar el servidor o los recursos de su aplicación. Para detectar y bloquear todo tipo de ataques DDoS, un firewall de sitios web se asegura de que su sitio web está disponible incluso si bajo ataque de un gran volumen de visitantes falsos.

  5. Optimización de Performance

    La mayoría de WAFs ofrecen almacenamiento en caché para aumentar la velocidad global de la página web, para mantener satisfechos a sus visitantes y reducir la velocidad de salida de los visitantes, con el objetivo de mejorar la interacción con el sitio web, la tasa de conversión y la clasificación de los motores de búsqueda.

Contáctenos