Página hackeada con enlaces ocultos｜Cómo solucionar la caída del ranking en Google

Si tu sitio web ha sido hackeado repentinamente con enlaces ocultos (enlaces oscuros), las consecuencias pueden ser serias: en el mejor de los casos, tu posición en Google baja bruscamente y el tráfico se reduce a la mitad; en el peor de los casos, Google lo marca como “sitio peligroso” y lo bloquea por completo.

Muchos propietarios de sitios se dan cuenta demasiado tarde: borrar páginas o apagar el servidor a ciegas sólo empeora la penalización.

Con 8 años de experiencia en SEO, hemos gestionado más de 60 sitios hackeados con enlaces ocultos, y desarrollamos un proceso estándar para detener las pérdidas en 72 horas + recuperar el ranking rápidamente.

Desde encontrar la ubicación exacta de los enlaces ocultos (como usar Screaming Frog para detectar código de redirección escondido), hasta eliminarlos manualmente y presentar pruebas a Google (con un formulario real de reconsideración), pasando por publicar contenido confiable para mitigar el efecto del spam — cada paso gira en torno a 3 momentos clave: 24h / 3 días / 7 días.

Advertencia: Si el ranking de tus palabras clave principales bajó más de 10 posiciones en los últimos 7 días, y aparecen muchas URLs indexadas con parámetros como “?redirect=casino”, probablemente fuiste hackeado. Actúa de inmediato.

¿Ya hay enlaces ocultos en tu sitio?

Los enlaces ocultos no muestran ventanas emergentes ni hacen que el sitio se caiga — por eso son tan peligrosos.

Muchos dueños de sitios no se dan cuenta hasta que su ranking en Google cae más del 50%, y para ese momento los enlaces llevan semanas activos, incluso es posible que Google ya haya marcado tu sitio como malicioso.

En el 70% de los casos que manejamos, los enlaces estaban escondidos en carpetas de imágenes, páginas antiguas de blog o scripts JS. Es difícil detectarlos a simple vista.

Te voy a enseñar una forma efectiva y económica (sin necesidad de saber programar) de detectar estos “enlaces parásitos” en sólo 10 minutos.

Google Search Console: revisa las alertas oficiales

• Ve a “Seguridad y acciones manuales” → “Acciones manuales”. Si ves alertas rojas como “enlaces artificiales” o “sitio hackeado”, es señal clara de manipulación.
• Cuidado con el engaño: Algunos hackers falsifican un estado “sin problemas”. Da clic en “Problemas de seguridad” → “Ver páginas de ejemplo” y revisa si hay redirecciones como <meta http-equiv="refresh" content="0;url=enlace_de_apuestas">.

Herramientas para webmasters: detectar redirecciones ocultas

Usa Screaming Frog (la versión gratuita escanea hasta 500 URLs) para analizar tu sitio completo. Fíjate en:

1. Páginas con demasiados enlaces externos (más de 10 externos en una sola página es sospechoso)
2. Enlaces con “style=display:none” (como <a href="sitio_de_apuestas" style="display:none">)
3. Scripts JS cargados desde dominios extraños (<script src="http://dominio_raro.js">)

Chequeo rápido: Instala la extensión de Chrome Link Redirect Trace para ver si alguna página hace redirección 301 a sitios de apuestas.

Indexación de Google: encontrar páginas fantasma

En Google, escribe en la barra de búsqueda:

site:tu-dominio.com intitle:casino/sorteo/palabras-adultas  
site:tu-dominio.com inurl:.php?ref=

Si ves contenido que tú no escribiste (como “casino en vivo con bono”), es que los hackers crearon páginas de spam en tu servidor.

Último chequeo: Abre el log de tu servidor (/var/log/apache2/access.log) y busca “.php?” para ver accesos sospechosos (como muchas peticiones POST desde IPs de Vietnam o Ucrania).

Dato útil: Si descubres que los enlaces están concentrados en carpetas como /wp-content/uploads/2023/, lo más probable es que el hacker haya aprovechado una falla en la subida de archivos. Revisa los nombres de imágenes para ver si tienen código PHP como <?php eval().

3 pasos para eliminar por completo los enlaces ocultos

Las primeras 72 horas son clave para evitar más pérdidas. Muchos cometen el error de reinstalar todo de golpe, lo que agrava la penalización por “contenido inestable”.

Tras más de 60 casos, nuestra estrategia es clara: “Primero recopila evidencia, luego elimina, corrige y reporta al mismo tiempo.”

1. Haz una copia de seguridad completa (para no borrar nada importante sin querer)

Carpetas que debes respaldar:

• /wp-content/uploads/ (revisa imágenes con posibles códigos PHP)
• /wp-includes/js/ (inspecciona archivos como jquery-migrate.min.js en busca de modificaciones)

Herramientas recomendadas:

• Panel BaoTa: permite crear backups completos, incluyendo la base de datos
• Plugin Duplicator: genera un paquete portable del sitio (ignora archivos cache automáticamente)

2. Eliminación manual de código malicioso (con características de alto riesgo)

Búsqueda global de las siguientes palabras clave：

eval(base64_decode('cadena encriptada'));
 $k="contraseña hacker";error_reporting(0);
<iframe src="http://dominio-malicioso" style="visibility: hidden;">  

Archivos para revisar prioritariamente：

• .htaccess (revisa si contiene RewriteRule ^.*$ http://sitio-de-juegos [R=301,L])
• header.php/footer.php (busca llamadas JS sospechosas, como document.write(""))

Herramientas auxiliares：

Usa D-Shield (D_Safe) para escanear el servidor; marca automáticamente archivos con funciones peligrosas como system() o passthru().

3. Cerrar las vías de entrada: prevenir nuevas inyecciones

• Cambiar la ruta de acceso al login del backend (para WordPress):
  Instala el plugin WPS Hide Login para cambiar /wp-admin/ por una ruta personalizada (ejemplo /mylogin-2024/).
• Reparar urgentemente las vulnerabilidades:
  • Actualiza todos los plugins a la última versión (usa WPScan para detectar plugins con vulnerabilidades conocidas)
  • Elimina temas y plugins que no uses (especialmente los con nombres sospechosos como wp-seo-optimize)
• Fortalecer permisos del servidor:
  bash

  Copiar

  # Prohibir la ejecución de PHP en el directorio de subidas
  find /ruta/del/sitio/wp-content/uploads/ -type f -name "*.php" -exec rm -f {} \;
  chmod 644 .htaccess  # Limitar permisos de escritura  

Consejo clave: justo después de la limpieza, usa el plugin Link Redirect Trace para escanear todo el sitio y asegurarte de que no quede ningún código de redirección.
Si encuentras enlaces ocultos almacenados en la base de datos (como código cifrado en el campo post_content de la tabla wp_posts), usa la herramienta Adminer para ejecutar esta consulta SQL:

UPDATE wp_posts SET post_content = REPLACE(post_content, 'código malicioso', '');

Enviar una solicitud de reconsideración a Google

Eliminar los enlaces ocultos es solo el primer paso.
Lo más importante para recuperar tu posicionamiento es enviar una solicitud de reconsideración efectiva dentro de las 48 horas.

El 90 % de los webmasters fallan porque carecen de pruebas o usan una mala redacción, lo que puede provocar una segunda revisión manual (y retrasar la recuperación de 3 a 6 meses).

Proporciono una plantilla de mensaje en inglés reutilizable y un paquete de pruebas sólidas que pueden aumentar tus posibilidades de éxito en un 80 %.

1. Enviar una solicitud de reconsideración por “acciones manuales” en Search Console

Pasos:
Ve a “Seguridad y acciones manuales” → “Acciones manuales” → Haz clic en “Solicitar reconsideración”.

Plantilla de mensaje (en inglés) (reemplaza las partes en rojo):

We have removed all spammy backlinks injected by hackers:  
1. Deleted malicious codes in .htaccess and footer.php (see screenshot_1.png).  
2. Blocked 142 suspicious IPs from Vietnam/Ukraine (access.log attached).  
3. Fixed the vulnerability via updating plugins (e.g. Elementor from 3.6 to 3.19).  
Request to revoke the manual penalty.  

Archivos adjuntos obligatorios:

1. Capturas de pantalla comparando el código antes y después de la limpieza (usa WinMerge para compararlas)
2. Extracto de registro mostrando las IP bloqueadas maliciosas (incluyendo hora, IP y ruta de ataque)
3. Informe de análisis de backlinks con Screaming Frog (exportado en PDF)

2. Gestiona también los “problemas de seguridad”
Ve a “Problemas de seguridad” → Marca todas las páginas afectadas → Haz clic en “Marcar como solucionado”.

Consejo para acelerar el rastreo:
En la herramienta “Inspección de URL”, introduce las URL afectadas → Haz clic en “Solicitar indexación” (máximo 50 envíos diarios).

3. Consejos ocultos para evitar que la solicitud sea rechazada

• Evita frases como “We apologize” (Google puede pensar que estás echando la culpa), usa descripciones objetivas en su lugar.
• Añade un informe de seguridad de un servicio externo (como un escaneo de Sucuri o SiteCheck) para demostrar que el sitio ya está limpio.

Actualiza tu contenido:

Publica dos artículos originales nuevos en las 24 horas siguientes a la solicitud de reconsideración (Google lo verá como una señal de mantenimiento activo).

Consejo importante:
Si no recibes respuesta en 7 días, ve a “Apariencia en resultados de búsqueda → Acelerar rastreo” para enviar tu sitemap.xml, y añade en la nota:
«Malware cleaned up, please recrawl critical pages like /contact-us/ and /blog/».

Si la advertencia de “acciones manuales” sigue sin levantarse, vuelve a enviar la solicitud después de 28 días con las mismas pruebas (evita ser detectado como spam).

Lista de herramientas de protección de bajo costo

Pensar que “proteger un sitio cuesta mucho” es un error común — el 80 % de los ataques provienen de vulnerabilidades básicas:
plugins no actualizados, contraseñas débiles, acceso admin por defecto.

Hemos ayudado a clientes a bloquear más de 20,000 ataques con un presupuesto anual menor a 500 RMB.

Incluso con conocimientos técnicos básicos, puedes asegurar todo tu sitio en una hora.

1. Los 3 elementos indispensables de protección (gratis)

Monitoreo en tiempo real de archivos:

• Usa la función “Protección de archivos” en el panel BaoTa (gratis) para bloquear archivos críticos como wp-config.php o .htaccess. Cualquier cambio dispara una alerta SMS.

Bloqueo de intentos de fuerza bruta:

• Instala Wordfence (versión gratuita) → Activa la supervisión en tiempo real → Las IPs que fallen más de 5 intentos en 15 min son bloqueadas automáticamente.

Copia de seguridad automática en la nube:

• Usa UpdraftPlus para programar copias de seguridad diarias a Google Drive (mantén las últimas 7 versiones). En caso de intrusión, puedes restaurar fácilmente una versión limpia.

2. Ajustes críticos del servidor que deben cambiarse

Deshabilitar funciones peligrosas de PHP:

Edite el archivo php.ini y añada lo siguiente después de disable_functions:

system,exec,passthru,shell_exec,proc_open,curl_multi_exec  

Limitar permisos del directorio de carga:

# Prohibir ejecución de PHP en /uploads/  
find /ruta-del-sitio/wp-content/uploads/ -type f -name "*.php" -delete  
chmod -R 755 /ruta-del-sitio/wp-content/uploads/  

Ocultar información del servidor:
Agregue lo siguiente al inicio del archivo .htaccess:

ServerSignature Off  
Header unset X-Powered-By  

3. Reglas de firewall (costo mensual ≤ $20)

Configuración del plan gratuito de Cloudflare:

• Regla 1: Retar todo acceso que contenga /wp-admin/ o xmlrpc.php (excepto IP en lista blanca)
• Regla 2: Bloquear solicitudes cuyo User-Agent contenga sqlmap o nmap

Bloquear rangos IP de países de alto riesgo:

Agregue estas reglas en el firewall del panel BaoTa:

Vietnam: 14.224.0.0/11  
Rusia: 46.161.0.0/18  
Ucrania: 37.52.0.0/14  

Consejo importante: Cada trimestre, realice un escaneo de vulnerabilidades con WPScan (comando: wpscan --url su-dominio --api-token su-token) y priorice la corrección de plugins con riesgo medio o alto.
Si usa servidor Nginx, asegúrese de agregar esta configuración:

location ~* ^/(uploads|wp-content)/.*\.(php|php5|phtml)$ {  
    deny all;  
}  

(Esto bloquea completamente la ejecución de código PHP oculto dentro de imágenes.)

No dependa de los “plugins de reparación con un clic”: analizamos 13 plugins de seguridad populares y encontramos que 9 de ellos tienen permisos excesivos o eliminan archivos erróneamente.
La configuración manual (como reglas .htaccess y permisos del servidor) es la única forma realmente segura y controlable.