Parece que volvemos a sacar la cabeza, después del batacazo de la cuesta de enero. Tráfico (por semanas) de este blog desde el inicio del año. Fuente: eXTReMe Tracking

El año había comenzado muy bien en esta casa y, pasadas las dos primeras semanas del año, parecía incluso que podríamos dejar el tráfico a la altura del pasado septiembre (la gráfica por meses no la voy a enseñar, que me hace daño) y olvidar el último trimestre de 2010. Y entonces, a media tercera semana, Google nos defenestró (a falta de una palabra más violenta): de más de 700 visitas diarias caímos a 400: una caída de alrededor del 45% que servidor atribuyó al refresco de índice que hizo Google por aquellas fechas. Craso error. Y además innecesario y demostrativo de descuido… Porque si tienes una web lo que deberías hacer, como mínimo, es pasar por www.google.com/webmasters/tools/, registrarte y seguir los pasos indicados para acceder a los datos que el buscador tiene sobre tu web y te ofrece (que no son todos, desde luego). Y eso lo había hecho. Hace meses, si no años. Pero lo único que se me ocurrió fue pasar por www.google.com/webmasters/tools/malware y confirmar que, según Google, mi web estaba libre de ‘malware’. Y creérmelo, maldecir mi suerte y seguir. Y es que Google, como he podido comprobar, no te alerta cuando cree que te estás comportando como un ‘link spammer’: sólo lo hace si cree que estás poniendo en peligro la salud informática de tus visitantes. Cosa que yo no hacía. Pero a fe mía que me tenían en la lista negra. Y con toda la razón. Porque lo que debería hecho justo después de comprobar que Google opinaba que estaba libre de ‘malware’ era (y no fue) pasarme por www.google.com/webmasters/tools/keywords. Si lo hubiese hecho habría comprobado (como hice semanas más tarde) que las ‘keywords’ de obm eran una ensalada de términos spammer, con hasta el último producto farmacéutico ‘de moda’ :-(.

Una vez entendido el problema, la solución es [relativamente] fácil: buscar dónde te han colocado el spam (en mi caso, era bastante burdo y fácil de localizar, una vez sabido que había algo que buscar), borrar y, más importante, averiguar cómo te lo están colocando. En el caso de obm, gracias a la inestimable colaboración de Carlos, la cosa fue rápida y localizamos (localizó, vaya) un img.php de aspecto inocente pero que (i) no tenía ningún motivo para estar donde estaba y (ii) contenía una plataforma de lanzamiento de armas de spam masivo en toda regla (el archivo es como para verlo, de verdad: un miniCMS en un solo archivo). En caso de no encontrar el agujero, el procedimiento habría sido un poco más engorroso pero no mucho más complicado: borrar todos los archivos de WordPress, plugins y temas incluidos, y vuelta a subir desde copias seguras. Y asegurarse que estás actualizado a las últimas versiones tanto de WP como de los plug-ins que tengas instalados, que es la única forma de minimizar los riesgos con ese adorable ‘gruyére’ que es WordPress…

Y a partir de ahí, santa paciencia. Porque Google (comprensiblemente, aunque me pese) no te va a quitar de la lista negra así como así, después de que tú te hayas pasado una buena temporada dando por saco… Y te vas a pasar unas cuantas semanas de tu vida observando con preocupación cómo no desaparecen las palabras clave spammers de la lista, buscando agujeros que, con un poco de suerte, ya no existen, mandando a hacer puñetas a Google, recordando después que la culpa es primero del impresentable que te colocó el paquete, mucho después tuya, después del agujero de turno de WP y/o el plug-in que sea y finalmente de Google… y vuelta a empezar :-S.

En fin. La cosa ‘sólo’ me ha costado cerca de 30.000 visitas. Como mínimo, espero haber aprendido que

1. Hay que tener el CMS y sus plug-ins actualizados (o, si no estás preparado y/o dispuesto a asumir la responsabilidad, tirar de plataforma de publicación ajena) y
2. Hay que ser consciente de la necesidad de monitorizar qué pasa y analizar por qué pasa.

Toquemos madera…

Para proteger nuestro GMail de tan brutal ofensiva de ruido, dos pasos imprescindibles:

Quita de mi correo, bicho

No sé a quién se le ocurrió la “brillante” idea de generar un correo cada vez que alguno de mis contactos “buzzea” algo pero, desde luego, no conocía ni a mis contactos ni, peor aún, a los verborreicos contactos de mis contactos… O sea que la primera contramedida a tomar es la eliminación sumaria de todo ese correo no deseado. Veamos cómo:

1. A la derecha de la barra de búsqueda de GMail, en pequeñito, hay un enlace “Crear un filtro”. Haced clic en él.
2. Aparecerá un cuadro con diversas opciones (“De”, “Para”…). La que nos interesa es “Contiene las palabras”. Rellenad el cuadro que os ofrece con el texto “label:buzz”. Una vez relleno, dadle al botón “Búsqueda de prueba”. Si no habido ningún problema, veréis por debajo cómo os aparecen todos esos molestos mensajes de Buzz. Haced clic en “Paso siguiente”.
3. Después de una advertencia sobre etiquetas a la que debéis decir que “OK”, pasaréis al siguiente paso, en el que indicaremos a Google qué debe hacer con esos mensajes. Esto es, “Omitir Recibidos (Archivarlo)”. Activad esa opción. Si lo deseáis, también podéis darle a “Aplicar también el filtro a las tropecientas conversaciones siguientes.” y comenzar a hacer limpieza. Una vez hecho, le dais a “Crear un filtro”.
4. ¡Tachán! Fin de la primera parte y buzón a salvo.

No sigas al señor Martínez

Ni a la tía María. Ni al jefe. Ni…

Otro brutal error de Buzz es tomarse todas las libertades del mundo con tu grafo social y seguir por defecto (lo de defecto, nunca mejor dicho) a la mitad de tus contactos GMail. Hay que hacer limpieza como sea… Para ello, dos opciones:

• La primera, hacer clic sobre el “Sigues a (demasiadas) personas” que hay justo encima de los “buzzes”. Ahí os saldrá una lista de toda la gente que estáis siguiendo. Vuestro mejor amigo, el enlace “Dejar de seguir” que aparece a la derecha de cada uno de los pesados de la lista. Que, no lo dudéis, son muchos. Sin piedad y a degüello. Si alguien se molesta, que le zurzan. Y prometo que yo no me molestaré con nadie que tome la sabia decisión de no seguirme.
• Pero claro, eso puede ser muy drástico. Quizá sea mejor huir de los bombardeos masivos y optar por la táctica francotirador. También es fácil. Al enésimo “buzz” inane del primo Andrés, os vais al triangulito que hay a la derecha del correspondiente “Comentar”. Y os aparecerá, de nuevo, el maravilloso “Dejar de seguir a ElPesadoDeTurno”. Adelante, sin titubear…

Mucho mejor, ¿eh? De nada, ha sido un placer…

Pues bien, ¿qué recomienda Google para esos caso? Primero, prevenir y darse de alta en Google Webmaster Tools para ver cómo indexa el sitio el buscador (yo ya estaba dado de alta. ¿Sabe alguien si el resto de buscadores ofrece algo similar?). Desafortunadamente, a pesar de que Google sabe a través de las ‘webmaster tools’ que mi sitio es mío, y que dispone de una dirección de correo asociada conmigo para ponerse en contacto, no lo hace y solo nos advertirá al entrar en las ‘webmaster tools’ si detecta ‘malware’ (digo yo que no les costaría tanto mandar un aviso automatizado antes de poner un sitio en la lista negra, aún con la consabida advertencia de que no hay posibilidad de asistencia humana). También recomiendan una serie de lecturas, pero tendréis que seguir el enlace y buscarlas desde allí (da palo enlazar PDFs en inglés…).

Si uno se ha visto infectado, los pasos que recomiendan son (en traducción libre):

• Poner off-line el sitio
  • Dejar el sitio off-line temporalmente, al menos hasta que estés seguro de que has arreglado el problema.
  • Si no puedes ponerlo off-line, devolver un 503 para impedir que lo visiten los ‘spiders’.
  • En Webmaster Tools, usar la herramienta de eliminación de URLs para eliminar las páginas o URLs hackeadas que puedan haberse añadido. Así no se servirán páginas hackeadas a los usuarios.
• Evaluación de daños
  • Intentar detectar qué buscaba exactamente el hacker (NdT: no me gusta nada el uso de la palabra hacker con esta acepción, pero es el que usa Google…). ¿Buscaban información sensible o usar el sitio para otros fines?
  • Buscar cualquier fichero modificado o subido al servidor.
  • Comprobar los registros del servidor a la búsqueda de actividad sospechosa, como intentos fallidos de login, la historia de comandos (especialmente como superusuario), cuentas de usuario desconocidas, etc.
  • Determinar el alcance del problema?¿podría haber otros sitios tuyos afectados?
• Recuperación
  • Lo mejor que puede hacerse es reinstalar completamente el sistema operativo de una fuente fiable. Es la única forma de estar completamente seguro de eliminar todo lo que pueda haber hecho el hacker.
  • Después de una reinstalación limpia, usar la última copia de seguridad para restaurar el sitio. No olvides asegurarte de que la copia de seguridad esté limpia de contenido hackeado.
  • Actualiza a su última versión todos los paquetes de software.
  • Cambiar las contraseñas.
• Restaurar tu presencia online
  • Volver a poner online el sistema
  • Si eres usuario de Webmaster Tools, conectarte a la cuenta. Si el sistema fue marcado por contener ‘malware’, pide una revisión para comprobar si el sistema está limpio (NdT: “Request reconsideration”, en la primera pantalla tras hacer login). Si usaste la herramienta de eliminación para URLs que quieres conservar en el sitio, solicita la reinclusión.
  • Permanece alerta, puesto que los “hackers” podrían volver.

En la entrada comentan que son “bastante buenos” a la hora de no penalizar sitios por haber contenido spamlinks en el pasado. En mi caso, al menos, eso parece cierto, pero, aún así me resulta poco tranquilizador no dar más alternativas…