What is a 'pharma hack'?

A pharma hack is an SEO-spam injection that uses your compromised WordPress site to rank pharmacy-related keywords — Viagra, Cialis, Levitra, Oxycodone, generic erectile-dysfunction drugs. The attacker exploits your domain's existing authority to push their drugstore pages in Google. The site owner usually finds out when search results for their domain start returning pharmacy listings.

¿Por qué el spam solo aparece en Google y no en mi sitio?

The injection cloaks. A loader on the server checks the User-Agent and HTTP referrer. Googlebot sees the spam pages. Regular visitors see your normal site. That's why pharma hacks often go unnoticed for weeks — you only see them once Google emails a security warning or rankings collapse.

¿Perdonará Google a mi sitio tras eliminar el pharma hack?

Sí, una vez que el spam ha desaparecido. Enviamos una solicitud de reconsideración a Google Safe Browsing como parte de cada limpieza y pedimos indexación a través de Search Console. Las URLs malas devuelven 404 y caen del índice en los siguientes ciclos de rastreo. La mayoría de los sitios se recupera en unas semanas.

¿Cómo entra un pharma hack?

Casi siempre un plugin vulnerable o una credencial de admin filtrada. El propio core de WordPress rara vez es el punto de entrada. Cada limpieza identifica cuál fue y cierra el agujero — sin ese paso, el mismo sitio se reinfecta por la misma puerta en semanas.

// PHARMA HACK · WORDPRESS · LIMPIADO

Pharma hack removal.

Eliminación manual de la inyección de pharma hack. Limpieza de archivos, base de datos y sitemap. Vector de entrada identificado. Reconsideración de Google Safe Browsing enviada. Tarifa plana $279.

Iniciar limpieza → Cómo funciona el pharma hack

§ 01 — MECANISMO

Spam SEO camuflado, alojado en tus archivos y tu base de datos.

El pharma hack es una campaña de spam SEO de larga duración. El atacante deja caer un loader PHP en el servidor e inserta contenido spam en las tablas wp_posts y wp_options. El loader comprueba quién solicita cada página y sirve contenido de farmacia sólo a Googlebot.

Dos consecuencias: la autoridad de tu dominio queda secuestrada para posicionar keywords de farmacia, y tus propias páginas empiezan a posicionar más bajo porque las páginas spam se rastrean más a menudo que las tuyas.

// wp_options — payload pharma autoloaded

01 SELECT option_name, LENGTH(option_value) AS sz
02 FROM wp_options
03 WHERE autoload = 'yes'
04 ORDER BY sz DESC LIMIT 20;
05
06 // Unusually large autoloaded rows you don't recognise = inspect.
07 // Pharma payloads often live there, encoded.

§ 02 — QUÉ ELIMINAMOS

Cada lugar donde se esconde el pharma hack.

[ FILE LOADER ]
Loader PHP ofuscado, eliminado leyendo el diff del archivo contra una instalación limpia de WordPress.
[ WP_POSTS ]
Posts y borradores spam inyectados en la base de datos — purgados. El contenido legítimo no se toca.
[ WP_OPTIONS ]
Payloads autoloaded eliminados. Inyecciones en el footer del tema y opciones spam tipo feedwordpress revisadas y limpiadas.
[ SITEMAP ]
URLs sintéticas pharma purgadas de sitemap.xml. Sitemap limpio regenerado y reenviado a Search Console.
[ RECONSIDERACIÓN ]
Reconsideración de Google Safe Browsing enviada. Indexación en Search Console solicitada para las URLs afectadas.
[ VECTOR CERRADO ]
Identificamos el plugin o credencial que dejó entrar al atacante y cerramos esa puerta antes de cerrar el encargo.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →