Si tienes una web, vigila la seguridad

Estamos de noche electoral y hay que buscar, aunque sea debajo de las piedras, la estadística que diga que hemos ganado algo, o que al menos no nos la hemos pegado tanto como parecía. La nuestra:

Serie numérica de tráfico semanal, desde principios de año: 5278, 5338, 4751, 3376, 3763, 2864, 2636, 2886, 2813, 2927, 2877, 2932, 3137, 3018, 2781, 2585, 2878, 43717, 4406, 4402
Parece que volvemos a sacar la cabeza, después del batacazo de la cuesta de enero. Tráfico (por semanas) de este blog desde el inicio del año. Fuente: eXTReMe Tracking

El año había comenzado muy bien en esta casa y, pasadas las dos primeras semanas del año, parecía incluso que podríamos dejar el tráfico a la altura del pasado septiembre (la gráfica por meses no la voy a enseñar, que me hace daño) y olvidar el último trimestre de 2010. Y entonces, a media tercera semana, Google nos defenestró (a falta de una palabra más violenta): de más de 700 visitas diarias caímos a 400: una caída de alrededor del 45% que servidor atribuyó al refresco de índice que hizo Google por aquellas fechas. Craso error. Y además innecesario y demostrativo de descuido… Porque si tienes una web lo que deberías hacer, como mínimo, es pasar por www.google.com/webmasters/tools/, registrarte y seguir los pasos indicados para acceder a los datos que el buscador tiene sobre tu web y te ofrece (que no son todos, desde luego). Y eso lo había hecho. Hace meses, si no años. Pero lo único que se me ocurrió fue pasar por www.google.com/webmasters/tools/malware y confirmar que, según Google, mi web estaba libre de ‘malware’. Y creérmelo, maldecir mi suerte y seguir. Y es que Google, como he podido comprobar, no te alerta cuando cree que te estás comportando como un ‘link spammer’: sólo lo hace si cree que estás poniendo en peligro la salud informática de tus visitantes. Cosa que yo no hacía. Pero a fe mía que me tenían en la lista negra. Y con toda la razón. Porque lo que debería hecho justo después de comprobar que Google opinaba que estaba libre de ‘malware’ era (y no fue) pasarme por www.google.com/webmasters/tools/keywords. Si lo hubiese hecho habría comprobado (como hice semanas más tarde) que las ‘keywords’ de obm eran una ensalada de términos spammer, con hasta el último producto farmacéutico ‘de moda’ :-(.

Una vez entendido el problema, la solución es [relativamente] fácil: buscar dónde te han colocado el spam (en mi caso, era bastante burdo y fácil de localizar, una vez sabido que había algo que buscar), borrar y, más importante, averiguar cómo te lo están colocando. En el caso de obm, gracias a la inestimable colaboración de Carlos, la cosa fue rápida y localizamos (localizó, vaya) un img.php de aspecto inocente pero que (i) no tenía ningún motivo para estar donde estaba y (ii) contenía una plataforma de lanzamiento de armas de spam masivo en toda regla (el archivo es como para verlo, de verdad: un miniCMS en un solo archivo). En caso de no encontrar el agujero, el procedimiento habría sido un poco más engorroso pero no mucho más complicado: borrar todos los archivos de WordPress, plugins y temas incluidos, y vuelta a subir desde copias seguras. Y asegurarse que estás actualizado a las últimas versiones tanto de WP como de los plug-ins que tengas instalados, que es la única forma de minimizar los riesgos con ese adorable ‘gruyére’ que es WordPress…

Y a partir de ahí, santa paciencia. Porque Google (comprensiblemente, aunque me pese) no te va a quitar de la lista negra así como así, después de que tú te hayas pasado una buena temporada dando por saco… Y te vas a pasar unas cuantas semanas de tu vida observando con preocupación cómo no desaparecen las palabras clave spammers de la lista, buscando agujeros que, con un poco de suerte, ya no existen, mandando a hacer puñetas a Google, recordando después que la culpa es primero del impresentable que te colocó el paquete, mucho después tuya, después del agujero de turno de WP y/o el plug-in que sea y finalmente de Google… y vuelta a empezar :-S.

En fin. La cosa ‘sólo’ me ha costado cerca de 30.000 visitas. Como mínimo, espero haber aprendido que

  1. Hay que tener el CMS y sus plug-ins actualizados (o, si no estás preparado y/o dispuesto a asumir la responsabilidad, tirar de plataforma de publicación ajena) y
  2. Hay que ser consciente de la necesidad de monitorizar qué pasa y analizar por qué pasa.

Toquemos madera…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *