¿Por qué el spam solo aparece en Google y no en mi sitio?

La redirección comprueba quién visita antes de dispararse. Suele leer el User-Agent y el referer y solo se activa cuando el visitante parece un clic desde un buscador en un móvil. Las visitas directas, los visitantes recurrentes y los administradores conectados quedan excluidos, por eso el dueño del sitio no la ve.

Cambié la contraseña de admin. ¿Por qué sigue ocurriendo la redirección?

La redirección vive dentro del propio sitio, no en su login. Hasta que se elimine el código en PHP, la base de datos o .htaccess, los visitantes seguirán siendo enviados a donde decidió el atacante.

¿Perdonará Google a mi sitio tras eliminar el pharma hack?

Sí, una vez que el spam ha desaparecido. Enviamos una solicitud de reconsideración a Google Safe Browsing como parte de cada limpieza y pedimos indexación a través de Search Console. Las URLs malas devuelven 404 y caen del índice en los siguientes ciclos de rastreo. La mayoría de los sitios se recupera en unas semanas.

¿Cómo pasó esto, en primer lugar?

Casi siempre un plugin vulnerable o unas credenciales de admin/FTP filtradas. Identificamos la ruta exacta y la cerramos antes de devolverle el sitio.

// PHARMA HACK · WORDPRESS · LIMPIADO

WordPress redirect malware removal.

Manual removal of the redirect. I find how it got in, close it, and write you a report. Flat $279.

Iniciar limpieza → Cómo funciona el pharma hack

§ 01 — MECANISMO

Una redirección secuestrada es difícil de ver y fácil de pagar caro.

El atacante coloca código en su sitio que envía a los visitantes a otra web. A veces es una estafa, a veces spam de afiliación, a veces algo peor. Suele dispararse solo para ciertos visitantes — móviles, clics desde Google, IP nuevas — y por eso el dueño del sitio no la ve.

Puede vivir en un archivo PHP, en la base de datos o en las reglas de rewrite del servidor. Comprobamos las tres. La eliminamos, averiguamos cómo entró y cerramos esa puerta antes de devolverle el sitio.

// wp_options — sondeo del destino de redirección

01 SELECT option_name, option_value
02 FROM wp_options
03 WHERE option_name IN ('siteurl', 'home');
04
05 // If either points anywhere other than your domain,
06 // the redirect has already overwritten core URLs.

§ 02 — QUÉ ELIMINAMOS

Tres lugares. Comprobamos los tres.

[ TRIAGE DE PLUGINS ]

Reproducimos la redirección con el mismo User-Agent y referer que la disparan — sin adivinanzas.
[ ARCHIVOS ]

Loaders PHP en el tema, mu-plugins y wp-includes — eliminados mediante diff contra un WordPress limpio.
[ BASE DE DATOS ]

wp_options.siteurl restaurado; scripts inyectados eliminados de wp_posts; payloads autoloaded purgados.
[ REGLAS REWRITE ]

Directivas .htaccess maliciosas eliminadas; reglas de protección añadidas.
[ BÚSQUEDA EN GOOGLE ]

Reconsideración enviada a Safe Browsing; URLs afectadas re-indexadas vía Search Console.
[ INFORME ]

Informe forense en lenguaje claro, vector de entrada identificado, qué cambiar antes de devolverle las llaves.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →