Wsparcie » Zaawansowane » wordpress po hacku SEO spam injection

  • Mam problem ze stroną, która została zainfekowana seo spam injection.
    W momencie, kiedy dostałem zadanie „wyprowadzenia jej na prostą” strona miała już kilkaset/kilka tysięcy linków do stron typu torrent, podróbki butów, kasyna etc, przy czym linki były widoczne tylko dla wyszukiwarki (po wpisaniu w google site:adresstrony.pl pojawiało się ok 20000 wpisów), ponadto włamywacz dodał się jako nowy właściciel do google search console i cofnął weryfikację prawowitej właścicielce, w związku z czym nie dostała informacji o zablokowaniu wyświetlania strony w wyszukiwarkach. Jak wyglądała sytuacja po hacku:

    • dodana tabela wp_dolly, zawierająca spamowe linki
    • mnóstwo spamowych linków w wp_posts
    • zmodyfikowany index.php + crontab, który przywracał zainfekowaną wersję
    • umieszczane w różnych miejscach pliki typu wp-data.php, wp-user.php zawierające spamujące skrypty
    • katalog temp/u zawierający tysiące plików txt z linkami w base64
    • katalog bk_tem_bk zawierający wersję strony dla google botów
    • setki linków w plikach txt w base64 w folderze uploads

    Zablokowałem dostęp do FTP dla wszystkich ip z wyłączeniem mojego, zmieniłem wszystkie hasła i klucze, sprawdziłem logi (niestety, włam był starszy niż najstarsze logi na serwerze), usunąłem podejrzane pliki, zablokowałem ip, które generowały ruch do tych plików, na wszelki wypadek zablokowałem w htaccess cały ruch z Azji (większość linków była po japońsku).
    Mam wrażenie, że wszystko powinno już banglać, ale… No właśnie. Google odblokowało stronę, żaden nowy syf nie pojawia się na FTP, monitoruję ruch (Wordfence + Sucuri), sprawdzam Screaming Frogiem i wszystko wygląda ok, a jednak po wpisaniu w google site:adresstrony.pl nadal mam tysiące spamerskich japońskich linków typu adresstrony.pl/fxc_2317_latup. Czy coś przegapiłem?

Viewing 9 replies - 1 through 9 (of 9 total)
  • Google magicznie nie usunie z indeksu spam-wpisów. Potrwa to zanim boty przejdą przez stronę i linki będą z czasem znikać.

    W przypadku pojedynczych linków to wystarczy z GSC:
    Indeks Google > Usuń adresy URL.
    W przypadku setek i tysięcy… nie mam szczerze mówiąc pojęcia. Możesz zlecić indeksowanie strony razem z linkami w Indeksowanie > Pobierz jako google, bot przeleci w najbliższym czasie i może część zniknie ale raczej nie całość/większość. Jeśli jakimś cudem spamer przypisał je do oddzielnej taksonomii, to możesz w robotach zablokować botom dostęp do nich.

    Ewentualnie poprosić o pomoc na jakiś forum SEO/pozycjonerskim, tam na pewno znajdą się specjaliści, którzy mieli do czynienia z podobnymi problemami.

    Nie piszesz o tym więc wspomnę, chociaż pewnie to sprawdziłeś, zazwyczaj linki ładują się jeszcze do sitemap.xml (od razu widać, bo zazwyczaj ten plik nagle puchnie), no i dopisuje sobie rewrite’y do htaccess’a.

    Miałem podobny klopot ze swoją stroną i miałem dwa wyjścia jako osoba nie wladająca super doświadczeniem w IT mogłem to zlecić fachowcowi którymu bym musiał zapłacic zapewne więcej niż bym sie spodziewał albo pobrzebać w google i sprobować cos na to zaradzić. Natrafiłem na antywiruna działającego na serwerach w czasie rzeczywistym który zainfekowane fragmenty kodu i wszystko podejrzane wrzucał do kwarantanny i naprawde pomogło sprobuj moze akurat Ci pomoże [url]https://app.webanti.com[/url]

    Thread Starter ablein

    (@ablein)

    Dzięki za pomoc. Sitemap.xml oczywiście na wstępie wyrzuciłem, wygenerowałem nowy i dodałem w search console, htaccess też jest już czysty, natomiast w dalszym ciągu site:adresstrony.pl wyrzuca ponad 20k wpisów z japońskimi krzaczkami, po kliknięciu których zawsze wyskakuje błąd 404. Zrobiłem backup strony na dysku, przeszukałem wingrepem pod kątem base64 i fragmentów, które powtarzały się we wcześniej znalezionych zainefkowanych plikach (jako ciekawostka, wiele z tych plików zaczynało się od „//Silence is golden.”;) – teoretycznie jest czysto.
    Na razie zaczekam, może linki znikną same.

    Zleciłeś reindeksację z linkami bezpośrednimi w Search Console?

    Thread Starter ablein

    (@ablein)

    Tak. W tej chwili mam zaindeksowanych 18k urli, natomiast z sitemapy wynika, że powinno ich być ok 260… Poczekam, może same sobie pójdą albo mnie olśni i znajdę coś, czego wcześniej nie widziałem. Tak czy owak, dzięki.

    Mapa witryny jest tylko odniesieniem dla botów, nie jest niestety żadną podstawą. To tak czysto informacyjnie.

    Jeśli linki te wyrzucają błąd 404, a nie żadne przekierowania to oznacza, że najprawdopodobniej już „nie istnieją” na stronie, a to akurat dobrze.

    Linki te powinny sukcesywnie znikać co jakiś czas. Podejrzewam jednak, że zniknięcie wszystkich to raczej kwestia tygodni, a nie dni.

    Tak abstrahując //Silence is golden to standardowy tekst w plikach WordPressa index.php zabezpieczających wyświetlanie listingu katalogu 🙂

Viewing 9 replies - 1 through 9 (of 9 total)
  • Temat ‘wordpress po hacku SEO spam injection’ jest zamknięty na nowe odpowiedzi.