¿Qué es una redirección maliciosa?
Un redireccionamiento malicioso es un código que se inserta en un sitio web con la intención de redirigir al visitante del sitio a otro sitio web. Los atacantes suelen insertar redireccionamientos maliciosos en un sitio web con la intención de generar impresiones publicitarias. Sin embargo, algunas redirecciones maliciosas pueden tener efectos más dañinos. Una redirección maliciosa puede aprovechar las vulnerabilidades en la computadora de un visitante del sitio a través de scripts basados en la web para instalar malware en máquinas desprotegidas. Como tal, es fundamental eliminar las redirecciones maliciosas de tu sitio.
Determinar si tu sitio está infectado
La mayoría de los propietarios de sitios no saben que su sitio está redireccionando a los visitantes. A menudo, se enteran por primera vez de la redirección cuando un cliente se acerca para decir que ha terminado en un rincón indeseable de Internet cuando intenta visitar el sitio. El propietario de un sitio podría incluso intentar replicar el problema, solo para ver que todo se ve bien en su computadora, mientras que los visitantes del sitio en plataformas móviles experimentan actividad maliciosa. La redirección puede ocurrir en algunas páginas y no en otras. O puede suceder incluso antes de que se cargue el sitio.
Si Wordfence ha identificado que su sitio tiene uno o más redireccionamientos maliciosos, existen algunos pasos que puede seguir para eliminar el redireccionamiento malicioso y restaurar tu sitio a la funcionalidad normal.
Encontrar y eliminar redireccionamientos maliciosos
Antes de realizar cambios en los archivos o la base de datos de su sitio, le recomendamos que haga una copia de seguridad de todos los archivos del sitio en un lugar seguro, especialmente si no está familiarizado con el funcionamiento interno de su sistema de administración de contenido (CMS).
Se puede insertar una redirección maliciosa en cualquier lugar de su sitio. Puede estar en los archivos de tu sitio o incluso en su base de datos.
Estos son algunos de los redireccionamientos maliciosos que a menudo detectan nuestros análisis y algunas instrucciones sobre cómo eliminarlos.
Inserciones de JavaScript en los archivos de tu sitio.
En los sitios de WordPress, vemos entradas de JavaScript colocadas en archivos de tema. Por lo general, los encontraremos dentro del encabezado del tema, a menudo justo encima de la etiqueta. Pero pueden estar en otra parte de los archivos del sitio.
Un script que normalmente se encuentra en el encabezado puede tener el siguiente aspecto:
También se puede incluir un script malicioso en otro script.
- Determine qué secuencia de comandos está realizando la redirección maliciosa. No todo el javascript de su sitio es malicioso; de hecho, la mayor parte del javascript que encontrará en su sitio es parte de la funcionalidad principal.
- En Chrome, ingrese «view-source:» delante de la URL del sitio (por ejemplo, view-source: http: //www.sitename.com) y busque «<script» dentro del archivo. Puede buscar qué otro código o texto está cerca del script malicioso para determinar qué archivo del sitio contiene el código malicioso.
- Si es un archivo de tema, puede usar el editor de temas de su sitio para eliminar el javascript ofensivo. O puede descargar su sitio a través de FTP o su administrador de archivos cpanel y cargar el archivo limpio a su servidor.
Javascript insertado en páginas o publicaciones.
A menudo, los atacantes ejecutarán un script que inserta javascript en todas las publicaciones / páginas de su sitio. Estos redireccionamientos no se encontrarán en los archivos del sitio, sino en la base de datos del sitio. Puede haber más de un script insertado. Puede ser una página o puede estar en todas. Estos scripts pueden parecerse al mismo script anterior, pero estos redireccionamientos a menudo se pueden ofuscar (oscurecer intencionalmente para hacer que el código sea ambiguo).
Estos redireccionamientos maliciosos de javascript se verán similares a los ejemplos de javascript anteriores.
Eliminación de esta redirección: para eliminar esta redirección, existen algunas opciones. A menudo, estos redireccionamientos se insertan en todas las publicaciones del sitio. Los scripts se pueden eliminar editando:
- dentro del sistema de gestión de contenido (por ejemplo, a través de la edición de publicaciones de WordPress)
- a través de una herramienta de base de datos como PhpMyAdmin que permite editar más de una página / publicación a la vez.
- a través de un archivo de texto descargado localmente y cargando las publicaciones limpias en la base de datos usando una herramienta de administración de SQL. Si bien es más rápido, esto requiere un nivel de experiencia técnica para trabajar con SQL.
Redirecciones de JavaScript insertadas en widgets.
Los scripts maliciosos también se pueden insertar en widgets.
JavaScript ofuscado adjunto a archivos de JavaScript.
Un atacante puede agregar algunas líneas de javascript a algunos o todos los archivos javascript dentro de los archivos del sitio. Una búsqueda de archivos del sitio en busca de la URL a la que el sitio está redirigiendo podría no encontrar ningún resultado porque este javascript a menudo está ofuscado. A continuación se muestra una muestra:
Eliminación de este redireccionamiento: para eliminar este tipo de redireccionamiento malicioso, descargue todo el sitio utilizando un programa FTP en su computadora y busque el javascript ofensivo. Si tiene una herramienta de desarrollo que le permite analizar todos los archivos de su sitio, es posible que este redireccionamiento malicioso se haya insertado en todos los archivos javascript de su sitio. Compruebe los archivos .js y .json, incluidos los archivos principales, los archivos de temas, los complementos, etc. Una vez que haya limpiado todos los archivos del sitio, cargue el sitio limpio de nuevo en el servidor.
Redirecciona insertado en archivos htaccess.
Un archivo htaccess es un archivo ubicado en su servidor que proporciona directivas al servidor incluso antes de que se acceda a los archivos de su sitio. Para un sitio de WordPress, por ejemplo, el archivo htaccess le indicará al servidor que envíe solicitudes a enlaces permanentes al archivo index.php primario de WordPress para su manejo. Otras directivas se pueden colocar en un archivo htaccess, y es una ubicación favorita para que los atacantes coloquen redireccionamientos maliciosos. A menudo, estos tipos de redireccionamientos redirigirán en función del tipo de navegador o dispositivo, o por el sitio que remitió al visitante a tu sitio (la mayoría de las veces, desde uno de los motores de búsqueda).
Una redirección de htaccess puede incluso redirigirlo en función del navegador (agente de usuario) O la referencia (lo que envió al visitante a su sitio). A continuación se muestra una muestra:
Estos redireccionamientos pueden ser difíciles de aislar y eliminar. La manipulación del archivo htaccess puede hacer que el sitio deje de funcionar por completo o crear errores que no tienen mucho sentido, como un error interno del servidor. Si no está familiarizado con las directivas dentro del archivo htaccess, tiene sentido buscar ayuda.
Eliminación de esta redirección: comience por descargar su archivo .htaccess. Es posible que su administrador de archivos cpanel no le muestre este archivo «oculto» y, a veces, descargarlo en el disco duro de su computadora puede hacer que desaparezca aunque pueda verlo en su aplicación FTP. Deberá eliminar la redirección, dejando atrás el código necesario para el funcionamiento de su sitio. Esto puede depender del proveedor de alojamiento, ya que a menudo hay entradas dentro de un archivo htaccess necesarias para la funcionalidad de su sitio.
Redes publicitarias
Algunas redes de publicidad son indulgentes en sus estándares para la publicidad que aceptan en su red. El sitio puede estar completamente libre de malware, pero una red publicitaria puede redirigir a los visitantes del sitio. Determinar qué red de publicidad puede ser la culpable puede ser una tarea muy difícil, ya que los redireccionamientos de publicidad maliciosos pueden aparecer de forma esporádica e impredecible.
Eliminación de esta redirección: si un sitio redirige maliciosamente a los visitantes de tu sitio, si ha agotado todas las demás opciones y tiene redes publicitarias colocadas en tu sitio, eliminar esas redes publicitarias puede resolver el problema de la redirección maliciosa.
Mirando más allá del redireccionamiento
No importa qué tipo de redireccionamiento haya encontrado en tu sitio, la gran pregunta es cómo llegó allí. Es probable que tengas otros tipos de malware o vulnerabilidades de seguridad en tu sitio que permitieron a un atacante obtener acceso al sitio y colocar la redirección maliciosa. Es posible que tenga puertas traseras, cargadores de archivos maliciosos u otros problemas en el sitio.
Si después de leer esta guía, no estás seguro de cómo eliminar el redireccionamiento malicioso o estás buscando más respuestas sobre cómo se colocó el código en tu sitio, obtén ayuda.
Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.