Logo
WP Fix by Blimx

Spam SEO Japonés — Detección y Eliminación en WordPress

Actualizado:
SecurityMalware

Qué hace el hack de keywords japoneses

El spam SEO japonés (también llamado Japanese keyword hack) es una variante de malware WordPress que crea miles de páginas auto-generadas de baja calidad en tu sitio, cada una apuntando a un keyword japonés para ingresos de afiliados o productos falsificados. Las páginas son invisibles para ti — solo Google las ve indexadas.

Para cuando notas, Google Search Console te muestra que tienes 50,000+ páginas indexadas, tu sitio aparece en resultados de búsqueda japoneses para términos como "ロレックス スーパーコピー" (réplica Rolex), y tus páginas reales caen en ranking porque Google ahora ve tu sitio como una granja de spam.

Este artículo es el playbook completo de detección y eliminación.

Cómo opera el hack

El patrón de ataque es consistente entre infecciones:

1. Compromiso inicial vía vulnerabilidad de plugin

Casi todos los hacks japoneses que hemos limpiado en 2025-2026 empezaron con un CVE de plugin conocido — plugins de gestor de archivos, formularios de contacto, page builders. El atacante explota el CVE para subir un webshell.

2. El webshell despliega persistencia

El webshell crea un usuario backdoor, añade un mu-plugin malicioso, y modifica .htaccess para habilitar reescritura de URLs.

3. Empieza generación de páginas

Una tarea programada (cron) o hook en el init de WordPress genera miles de posts/páginas falsos. Cada página apunta a un keyword japonés y contiene enlaces de afiliado.

4. Polución del sitemap

El malware añade estas URLs falsas a un sitemap oculto (sitemap-jp.xml, sitemap-extra.xml) o modifica tu sitemap existente de Yoast/RankMath para incluirlas.

5. Indexación por motor de búsqueda

Google descubre las URLs nuevas vía el sitemap y las indexa. En semanas, tu sitio muestra 10,000-100,000+ páginas de spam japonés en Google Search Console.

Detección

El hack japonés se esconde de tu navegador pero se revela a Google. Tres métodos confiables de detección:

Método 1 — Google Search Console

Reporte de Cobertura → Páginas Indexadas. Si el conteo es absurdamente más alto que tu conteo real de páginas (digamos 50,000 indexadas cuando tu sitio tiene 200 páginas reales), probablemente estás infectado.

URL Inspection en una página real no mostrará el hack. Pero el conteo masivo de páginas te delata.

Método 2 — Búsqueda site: de Google

Busca en Google:

site:yoursite.com 日本語

o

site:yoursite.com ロレックス

Si los resultados regresan con caracteres japoneses, el hack está indexado.

Método 3 — Curl como Googlebot

curl -A "Googlebot/2.1" https://yoursite.com/sitemap.xml | head -50
curl -A "Googlebot/2.1" https://yoursite.com/sitemap_index.xml | grep -i "jp\|japan"

Si el sitemap devuelve URLs que no reconoces o contiene entradas para páginas japonesas, estás infectado.

Dónde se esconde el malware

Hemos catalogado las ubicaciones que usa el hack japonés:

Base de datos

Los posts falsos a menudo van a wp_posts con post_status = 'publish' y post_type = 'post' (o un tipo custom). Se ven como posts reales en la base de datos, solo con contenido japonés.

SELECT post_title, post_date FROM wp_posts
WHERE post_content REGEXP '[\p{Hiragana}\p{Katakana}\p{Han}]'
   OR post_title REGEXP '[\p{Hiragana}\p{Katakana}\p{Han}]'
ORDER BY post_date DESC LIMIT 100;

Si MySQL no soporta rangos Unicode \p{...}, busca rangos de bytes específicos o keywords conocidos:

SELECT post_title FROM wp_posts WHERE post_title LIKE '%ロレックス%' LIMIT 10;

Archivos

El payload del malware a menudo está en: - wp-content/mu-plugins/<random>.php — corre incondicionalmente, difícil de remover vía admin - wp-content/plugins/<inocente-mente>/init.php — finge ser un plugin legítimo - wp-content/themes/<active>/inc/seo.php — oculto dentro del tema - wp-content/uploads/2024/12/wp-cache.php — disfrazado como archivo de caché

Sitemaps

ls -la *.xml
cat wp-content/uploads/sitemap*.xml 2>/dev/null | head

Busca archivos sitemap no-estándar. Yoast y RankMath generan sitemaps dinámicos en URLs conocidas; cualquier archivo XML estático en la raíz es sospechoso.

Procedimiento de eliminación

Paso 1 — Toma inventario antes de borrar

# Archivos modificados en los últimos 30 días
find /var/www/yoursite -name "*.php" -mtime -30 > /tmp/recent-php.txt
wc -l /tmp/recent-php.txt

Esto te da el universo de archivos a investigar.

Paso 2 — Identifica y borra posts falsos

-- ¡Backup antes de borrar!
CREATE TABLE wp_posts_backup AS SELECT * FROM wp_posts WHERE post_title LIKE '%ロレックス%' OR post_title LIKE '%スーパーコピー%';

-- Después borra
DELETE FROM wp_posts WHERE post_title LIKE '%ロレックス%' OR post_title LIKE '%スーパーコピー%';

-- Limpia postmeta huérfanos
DELETE pm FROM wp_postmeta pm LEFT JOIN wp_posts p ON pm.post_id = p.ID WHERE p.ID IS NULL;

Paso 3 — Remueve archivos maliciosos

Cada archivo que encontraste en mu-plugins, plugins sospechosos, inyecciones de tema — inspecciona manualmente y remueve. Si no estás seguro de si un archivo es legítimo, guarda una copia y remuévelo; reconstruye la funcionalidad después si es necesario.

Paso 4 — Restaura .htaccess

El hack típicamente escribe reglas de reescritura de URL a .htaccess. Reemplaza con el default:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Paso 5 — Regenera sitemap limpio

Borra cualquier archivo sitemap no-estándar. Re-despliega tu plugin SEO (Yoast/RankMath) para regenerar el sitemap dinámico.

Paso 6 — Envía remoción a Google

Google Search Console → Removals → New Request. Envía una petición de remoción para las URLs spam. Para cientos de URLs, haz remoción batch. Para miles, pide una Temporary Removal de los subfolders afectados.

También: Envía tu sitemap real fresco para que Google re-crawlee apropiadamente.

Paso 7 — Pide revisión

Search Console → Security Issues → Request Review con descripción de qué se encontró y limpió. Google típicamente revisa en 72 horas.

Por qué este hack tiene tanto éxito

El hack SEO japonés queda sin detectar más tiempo que otros malware porque:

  • No afecta tu homepage o URLs conocidas
  • Los admins logueados nunca ven las páginas
  • La mayoría de plugins de seguridad se enfocan en firmas de malware a nivel archivo, perdiendo ataques residentes en base de datos
  • Los dueños revisan Google Analytics en lugar de Search Console; el spam no recibe tracking de analytics

Si solo monitoreas tu sitio visualmente, no verás este hack hasta que Google te marque.

Prevención

Tras la limpieza:

  • Monitoreo de integridad de archivos con alertas para archivos nuevos en wp-content/mu-plugins/
  • Revisión diaria en Google Search Console para anomalías de conteo de páginas indexadas
  • Reglas WAF para bloquear los intentos de exploit específicos en plugins de gestor de archivos
  • Remoción de cualquier plugin de gestor de archivos, backup-restore o migración no en uso activo
  • Directorio de uploads restringido: ejecución PHP deshabilitada a nivel servidor

Errores comunes

  • Borrar posts falsos pero dejar el código generador — nuevo spam aparece en horas
  • Confiar en "el sitio se ve limpio desde mi navegador" — el hack se esconde de ti específicamente
  • No regenerar el sitemap — Google sigue re-indexando las URLs spam
  • Saltar la petición de remoción — incluso con el sitio limpio, el índice de Google mantiene el spam por semanas

Cuándo llamar a un especialista

Un hack de keywords japoneses con 10,000+ URLs spam indexadas es una recuperación multi-paso. La limpieza técnica es 4-8 horas; el trabajo de recuperación Google (sitemap, peticiones de remoción, revisión) toma 2-3 semanas. Manejamos ambos.

Emergencia de hack japonés — resolución típica 6-12 horas de trabajo distribuidos sobre la ventana de recuperación. Para malware más amplio ve eliminación de malware.