Imagínate que un internauta busca un sitio web como el tuyo. Tus esfuerzos de SEO han dado sus frutos: tu sitio aparece en la parte superior de los resultados de búsqueda, y el cliente potencial hace clic en el enlace, solo para encontrarse con una advertencia de que hay un «sitio engañoso por delante» o que «el sitio por delante contiene malware».

Pero tú no estás tratando de engañar a nadie. ¿Por qué iba a mostrar Google una advertencia sobre tu sitio?

Si bien este mensaje puede ser alarmante, la buena noticia es que las advertencias de sitios web como «sitio engañoso por delante» pueden solucionarse. Sigue leyendo para saber qué significan estas advertencias y cómo eliminarlas de tu sitio web.

Mira Nuestro Videotutorial para Arreglar la Advertencia de «Sitio Engañoso»

¿Qué Significa «Sitio Engañoso por Delante»?

Descubrir que tu sitio web tiene una advertencia es un shock. Tu primera reacción podría ser asumir que no hay nada malo en tu sitio. Después de todo, sabes que no has puesto nada peligroso en él.

Sin embargo, alguien más podría haberlo hecho.

Aviso de contenido engañoso en un sitio web.
Aviso de contenido engañoso en un sitio web.

Todos hemos leído en las noticias acerca de los ciberataques a las grandes empresas, pero también puede ocurrirle a los pequeños. De hecho, el 46% de las violaciones de datos se producen en pequeñas empresas.

Los tipos más comunes de hackeo de sitios web incluyen la inyección de URL, que es cuando un hacker crea páginas de spam en un sitio, y la inyección de contenido, como la adición de palabras clave y texto incoherente.

Si recibes una de las advertencias de Google, puede indicar que has sido hackeado. También es posible que hayas configurado tu sitio de una manera que no le guste a Google.

Los motivos de las advertencias incluyen:

Para que se elimine la advertencia, tendrás que volver a enviar tu sitio web a Google y solicitar que se elimine la etiqueta de peligroso o engañoso. Afortunadamente, este es un proceso bastante sencillo.

No envíes tu sitio a Google hasta que estés seguro de que el problema de tu sitio web se ha resuelto (más adelante se habla de esto).

Mensajes de Advertencia de Sitios Web y Su Significado

«Sitio engañoso por delante» no es la única advertencia que Google adjunta a los sitios web. Aunque la solución -volver a enviar tu sitio a Google- es la misma para todos ellos, el significado de cada uno es ligeramente diferente.

Entender qué significa la advertencia es el primer paso para solucionarla. Así que vamos a echar un vistazo a algunos de los más comunes.

«Sitio Engañoso por Delante»

Esta advertencia se refiere específicamente a los sitios web que podrían ser sitios de phishing. Por ejemplo, podría ser una página diseñada para parecer que pertenece a tu sitio web, pero que se utiliza para robar la información personal de los usuarios.

«El Sitio por Delante Contiene Malware»

Esto indica que el sitio web podría intentar instalar software dañino en el ordenador del visitante. El malware podría estar incrustado en tu sitio en lugares como imágenes, componentes de terceros o anuncios.

«Sitio Sospechoso»

Se trata de una advertencia general de que Google ha considerado un sitio sospechoso y potencialmente inseguro.

«El Sitio por Delante Contiene Programas Malignos»

El error de programas malignos advierte que tu sitio web puede intentar engañar a los visitantes para que instalen programas que causan problemas cuando navegan en línea.

«Esta Página Está Intentando Cargar Scripts de Fuentes no Autentificadas»

Buenas noticias: si esta es la advertencia que Google ha adjuntado a tu sitio, probablemente no ha sido hackeado. Suele significar que tu sitio web es HTTPS, pero está intentando cargar scripts de fuentes HTTP.

«¿Te Refieres a [Nombre del Sitio]?»

Google muestra este mensaje a los visitantes del sitio cuando cree que pueden estar buscando un sitio diferente con un nombre similar. Los piratas informáticos a veces crean sitios que están a solo una letra o un guion de distancia de un sitio seguro para engañar a los visitantes para que den su información personal.

El proceso para solicitar a Google que revise este problema es un poco diferente al de las otras advertencias. Si tú o los visitantes de tu sitio reciben esta advertencia «¿Te refieres a [nombre del sitio]?», Google te pide que te pongas en contacto con ellos a través de este formulario.

«Aviso de Sitio Web Fraudulento» (Safari)

Con el 77,03% de la cuota de mercado mundial de ordenadores de sobremesa, Google Chrome puede ser el rey indiscutible entre los navegadores, pero no es el único. Safari (8,87% de cuota de mercado) también muestra avisos de sitios web, aunque con una redacción ligeramente diferente.

«Posible Riesgo de Seguridad» (Firefox)

Firefox, el tercer navegador más popular con una cuota de mercado del 7,69%, tiene su propio conjunto de advertencias.

Aunque Safari y Firefox pueden redactar las advertencias de tus sitios web de forma diferente a la de Google, las causas -y las soluciones- son las mismas.

Cómo Solucionar los Mensajes de Advertencia del Sitio Web

Antes de volver a enviar tu sitio a Google para su revisión, debes asegurarte de que has solucionado cualquier problema de seguridad.

Google Search Console (antes conocido como Webmaster Tools) es tu mejor amigo en este proceso. A través de Search Console, Google te facilita la tarea de averiguar qué ocurre con tu sitio, incluso si no tienes muchos conocimientos técnicos.

Si aún no has configurado Google Search Console para tu sitio, ahora es un buen momento. Es completamente gratuito y te ayudará a supervisar, gestionar y mejorar tu sitio mucho después de que se haya eliminado la advertencia de seguridad.

1. Ver el Informe de Problemas de Seguridad en Google Search Console

Accede a Google Search Console. Si Google ha encontrado problemas de seguridad, habrá un enlace a tu informe de problemas de seguridad en la página de resumen.

Google Search Console mostrando los problemas de seguridad detectados.
Google Search Console mostrando los problemas de seguridad detectados. (Fuente de la imagen: Search Engine Journal)

También puedes acceder al informe yendo a Seguridad y acciones manuales y luego a Problemas de seguridad en la barra lateral.

Hay varios problemas de seguridad posibles que puedes observar en tu informe. Google clasifica los problemas en tres grupos: contenido pirateado, ingeniería social y malware o software no deseado. Echemos un vistazo a cada uno de ellos.

Contenido Pirateado

El contenido pirateado es cualquier contenido añadido a tu sitio web sin tu permiso debido a vulnerabilidades de seguridad en el sitio. Por ejemplo, un hacker podría añadir enlaces de spam a tus páginas web.

Si has sido hackeado, tu informe de problemas de seguridad mostrará problemas como:

  • Hackeado: Malware
  • Hackeado: Inyección de código
  • Hackeado: Inyección de contenido
  • Hackeado: Inyección de URL

Ingeniería Social

La ingeniería social significa que el contenido de tu sitio intenta engañar a la gente para que haga algo peligroso. Por ejemplo, el sitio puede tener formularios engañosos para convencer a los usuarios de que revelen información confidencial.

Los temas de contenido de ingeniería social en tu informe podrían incluir:

  • Páginas engañosas
  • Recursos integrados engañosos

Malware y Software no Deseado

Este problema significa que tienes aplicaciones o software descargable en tu sitio web que puede perjudicar al usuario. El propietario del sitio o un hacker podría haberlos instalado.

Puedes ver problemas como:

  • Descargas perjudiciales
  • Enlaces a las descargas perjudiciales

Sea cual sea el problema que veas en tu informe, puedes hacer clic en él para obtener más información.

Google aconseja cómo solucionar el problema, pero puede ser bastante técnico. Para muchos de los problemas, hay formas más sencillas y compatibles con WordPress de arreglar tu sitio web y eliminar la advertencia.

2. Encuentra y Elimina el Código Malicioso en Tu Sitio Web

En Kinsta, tenemos un compromiso de seguridad contra el malware. Eso significa que si tu sitio web está alojado aquí, ponte en contacto con nosotros y lo haremos:

  • Realiza un escaneo profundo de los archivos de tu sitio para identificar el malware
  • Repara el núcleo de WordPress instalando una copia limpia de los archivos del núcleo
  • Identifica y elimina los plugins y temas infectados

Sin embargo, si tu sitio de WordPress está alojado en otro lugar, puedes intentar restaurar una versión anterior y limpia de tu sitio a partir de una copia de seguridad reciente. Solo recuerda que perderás cualquier cambio que hayas hecho desde que hiciste la copia de seguridad del sitio web.

Si no tienes una copia de seguridad o no quieres perder tu nuevo contenido, hay varios plugins y servicios que pueden ayudarte.

3. Asegúrate de que el Certificado SSL está Correctamente Instalado

SSL son las siglas de Secure Sockets Layer. Es un protocolo de seguridad web que encripta y autentifica los datos cuando se envían entre dos aplicaciones, como un navegador y un servidor web.

A veces, una instalación incorrecta del certificado SSL puede provocar un mensaje de advertencia en el navegador. Puedes comprobar tu instalación con herramientas como SSL Checker.

Si tu sitio web está alojado en Kinsta, está automáticamente protegido por nuestra integración con Cloudflare, incluyendo certificados SSL gratuitos con soporte de comodines.

Instalación del certificado SSL a través de MyKinsta.
Instalación del certificado SSL a través de MyKinsta.

4. Redirige el Sitio Web de HTTP a HTTPS

Tu certificado SSL permite el uso de HTTPS. Todo el mundo debería utilizar HTTPS: es más seguro, mejor para el SEO y proporciona datos de referencia más precisos.

Por desgracia, el proceso de migración de HTTP a HTTPS puede causar problemas.

Es importante redirigir todo el tráfico HTTP a HTTPS de forma permanente. Si tienes un sitio HTTPS, pero parte del contenido se carga a través de una conexión HTTP menos segura, Google podría adjuntar un mensaje de advertencia a tu sitio.

Los clientes de Kinsta pueden usar nuestra herramienta Force HTTPS para redirigir el tráfico HTTP a HTTPS con unos pocos clics. Para otros hosts, la solución dependerá del software de servidor que se utilice.

Hay una solución sencilla que utiliza un plugin de WordPress para configurar tu sitio web para que funcione con HTTPS. Después de instalar el SSL, obtén el plugin Really Simple SSL.

Dicho esto, no te recomendamos que utilices el método del plugin de manera permanente.

Aunque pueden ser tentadores como solución rápida, los plugins de terceros introducen una capa extra de riesgo. Siempre puedes usarlo como un parche mientras trabajas para resolver el problema de otra manera.

Cómo Reenviar Tu Sitio a Google

Has encontrado el problema de seguridad de tu sitio web y lo has limpiado. ¿Y ahora qué?

Para reenviar tu sitio a Google, vas a utilizar, lo has adivinado, Google Search Console. A continuación te explicamos cómo hacerlo:

 

Paso 1: Prepara Tu Sitio para el Envío

Vuelve a comprobar que has eliminado el contenido dañino de tu sitio web. Si has usado un escáner de seguridad para encontrar el malware, vuelve a ejecutarlo.

Si envías tu sitio web sin solucionar el problema, se producirán retrasos adicionales.

Para revisar tu sitio web, Google tiene que poder rastrearlo. Asegúrate de que no has bloqueado a Googlebot mediante etiquetas noindex o cualquier otro método.

Por último, esto puede parecer obvio, pero es un error que se ha cometido antes: si has desconectado tu sitio para hacer frente al hackeo, asegúrate de que vuelve a estar activo para que Google pueda revisarlo.

Paso 2: Solicita una Revisión

Vuelve a tu Google Search Console. En tu informe de problemas de seguridad, haz clic en el botón Solicitar revisión.

Esto te llevará a un formulario que te pedirá que describas lo que has hecho para solucionar el problema. Escribe una frase para cada uno de los problemas de seguridad detectados.

Por ejemplo, si recibes los errores «Hacked: Content Injection» y «Harmful Downloads», podrías escribir:

En el caso de la inyección de contenido, eliminé el contenido spam y solucioné la vulnerabilidad actualizando mis plugins de WordPress. Para las descargas dañinas, sustituí el código de terceros que distribuía descargas de malware en mi sitio web.

Si tu sitio web ha sido marcado específicamente por suplantación de identidad, puedes enviarlo para su revisión a través de Google Search Console, tal y como se ha descrito.

Si ves el mensaje «¿Se refiere a [nombre del sitio]?», envía tu sitio a través de este enlace, no de Search Console.

Paso 3: Espera

El tiempo que tarda Google en revisar tu sitio web depende del tipo de problema de seguridad.

  • Hackeado con spam: Varias semanas
  • El malware: Unos días
  • Suplantación de identidad: un día aproximadamente

Si Google comprueba que tu sitio web está limpio, la advertencia debería eliminarse en un plazo de 72 horas.

¿Qué Pasa si Tu Sitio no Pasa la Revisión?

Si Google determina que no has resuelto el problema, la advertencia de sitio web engañoso seguirá vigente. Tu informe de problemas de seguridad podría empezar a mostrar más ejemplos de URL infectadas para ayudarte a localizar el contenido malicioso.

¿Qué Pasa con las Advertencias en Otros Navegadores?

Si tu sitio web también muestra advertencias en Safari o Firefox, no te preocupes. No tienes que pasar por un proceso de revisión distinto para cada navegador.

Mensaje de advertencia de riesgo de seguridad de Firefox.
Mensaje de advertencia de riesgo de seguridad de Firefox.

Firefox y Safari, así como muchos otros navegadores, obtienen su información de las listas de Google Safe Browsing, un conjunto de listas de recursos web inseguros que se actualizan con frecuencia. (La excepción es para los usuarios de China continental, donde Safari puede utilizar las listas de Tencent en lugar de las de Google).

Si consigues limpiar tu sitio web con Google, las advertencias también se eliminarán de otros navegadores.

Cómo Evitar los Avisos de «Sitio Engañoso por Delante»

Ningún sitio web es 100% seguro. Los hackers desarrollan nuevos trucos todo el tiempo, y si eres propietario de un sitio web, siempre existe la posibilidad de que seas la próxima víctima.

Dicho esto, la mayoría de los ciberataques pueden prevenirse siguiendo algunas buenas prácticas.

Estos son nuestros principales consejos para evitar que esa página de advertencia de color rojo brillante salude a los visitantes de tu sitio.

Mantente al Día

Es esencial que todo el software de tu sitio web, ya sea el programa central de CMS, los plugins o el tema, esté actualizado.

Los desarrolladores actualizan el software en respuesta a las nuevas amenazas de seguridad, pero tu sitio sigue siendo vulnerable si estás ejecutando una versión antigua.

A la espera de las actualizaciones del sitio de WordPress.
A la espera de las actualizaciones del sitio de WordPress.

Un estudio descubrió que el 49% de los sitios de WordPress hackeados ejecutaban versiones obsoletas del CMS en el momento de la infección.

Y no te olvides de tus plugins. Los plugins son una gran funcionalidad de WordPress, no obstante es fácil añadir un montón y no volver a pensar en ellos.

Cada plugin es una puerta de entrada para que un hacker acceda a tu sitio. Para estar lo más seguro posible, actualízalos todos con regularidad y evita utilizar plugins anulados.

Utiliza un Plugin de Seguridad de WordPress

No faltan los plugins diseñados para mejorar la seguridad de los sitios web de WordPress.

El problema es que muchos de ellos causan problemas de rendimiento del sitio. Por eso hemos prohibido algunos de ellos en los sitios de Kinsta.

Si estás alojado en Kinsta, nuestros parches de hackeos gratuitos y las funciones de seguridad integradas en el panel de MyKinsta hacen que no necesites herramientas de seguridad de terceros.

Pero para los propietarios de sitios que utilizan otros servicios de alojamiento y que podrían querer utilizar un plugin de WordPress, recomendamos dos en particular: Sucuri o Wordfence.

Supervisar Google Search Console

Los propietarios de sitios que utilizan Google Search Console deberían recibir avisos por correo electrónico sobre problemas de seguridad, pero no está de más comprobarlo de vez en cuando.

Además, Search Console tiene muchas otras funciones que ayudan al rendimiento de tu sitio y a la optimización de los motores de búsqueda. Estar atento a esta herramienta solo puede hacer que tu sitio web mejore.

Restringir el Acceso

Un número sorprendente de piratas informáticos acceden a tu sitio web de una manera sencilla: Utilizan tu contraseña.

Ten cuidado con quién tiene las credenciales de acceso a tu sitio. Asegúrate de que todos los miembros de tu equipo siguen las mejores prácticas, como el uso de un gestor de contraseñas, y de que saben cómo evitar estafas como los correos electrónicos de phishing.

Elige un Alojamiento Seguro

Como propietario de un sitio web, no puedes hacer mucho para garantizar la seguridad de tu sitio. Para la seguridad a nivel de servidor, necesitas encontrar un host en el que puedas confiar.

Algunas de las cosas que puede hacer tu host para mantener esas advertencias fuera de tu sitio son:

Resumen

Es alarmante darse cuenta de que Google ha puesto una advertencia en tu sitio web, pero no es difícil de solucionar. Ver el mensaje de advertencia puede ser incluso una alerta útil de que algo va mal en tu sitio.

La mejor manera de vigilar tu sitio web es configurar Google Search Console y supervisarlo regularmente. Soluciona cualquier problema tan pronto como se produzca.

Mejor aún, evita los problemas de seguridad en primer lugar. Siguiendo las mejores prácticas de seguridad de WordPress mencionadas anteriormente, podrás mantener tu sitio web seguro y tu tráfico entrante fluyendo.

Todo comienza con una aplicación centrada en la seguridad, una base de datos y un alojamiento de WordPress administrado. Haz clic para saber más sobre cómo Kinsta facilita la gestión de tus proyectos.

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.