Si es que hay que andar con mil ojos. Un plugin del repositorio oficial, con nada menos que más de sententa mil instalaciones activas y una valoración global de 4.4. Me refiero al plugin 404 to 301, que por lo visto se ha estado comportando de una forma, digamos, poco ética.
Pero antes de nada, ¿utilizas este plugin? Si es así, de momento desactívalo, y después de leer el artículo ya podrás decidir qué hacer, pero con conocimiento de causa. Avisado estás.
Tabla de contenidos
404 to 301, practicando el cloaking con tu web
Bueno, por partes que esto tiene tela. Porque resulta que, según informa Wordfence, este plugin puede estar modificando tu web sin que tú te des cuenta de una forma totalmente prohibida por Google, bajo riesgo de penalización.
El plugin 404 to 301
404 to 301 es un plugin gratuito, incluido en el repositorio oficial de WordPress, que evita los errores 404 (es decir, los ocasionados por una URL inexistente, el famoso «página no encontrada») en tu sitio web.
Este plugin con look tan retro-cutre monitoriza los errores 404 y los convierte en un 301, redirigiendo al visitante (o al motor de búsqueda, en su caso) a cualquier otra página que tú le hayas indicado.
Hasta ahí bien. Aparentemente, mejora la experiencia del usuario, que no se encuentra inesperadamente con páginas inexistentes, y el SEO, evitando que Google detecte errores 404 en nuestra web.
¿Qué es el cloaking?
Aunque tiene un nombre en español, encubrimiento, habitualmente se usa el término inglés cloaking. Se trata de una técnica no muy recomendable (de hecho es una de las llamadas Black Hat SEO, técnicas prohibidas por Google) que básicamente consiste en intentar engañar a los buscadores mostrándoles un contenido diferente que a las personas que visitan la web. El objetivo es, evidentemente, obtener mejores posiciones en los resultados de búsqueda, aunque sea a costa de una peor experiencia de usuario (que cree que encontrará una cosa cuando realmente encontrará otra).
La cuestión es que también puede usarse de otra forma: mostrar a los buscadores una información que el usuario no verá, porque de verla no la permitiría en su web.
El meollo de la cuestión
Y ahí es cuando llegamos al centro del asunto. Resulta que al instalar el plugin te pide que aceptes una licencia bastante larga, que incluye partes de la licencia para software libre GNU. ¿Lees este tipo de cosas? Pues claro que no, ahí está la cuestión: que nadie las lee. El caso es que al final de la licencia incluía un párrafo con bastante enjundia:
Third Party Text Links
Third party text networks supply text for display in 404 to 301. These networks may collect your visitors’ IP addresses, in native or hashed forms, for purposes of controlling the distribution of text links. 404 to 301 collects anonymous aggregated usage statistics.
By clicking the button here below, you agree to the terms and conditions and give permission to place text links on your website when search engine crawlers access it. Your website’s layout, performance and interaction with human visitors should not be altered or affected in any way. Please note that this feature can be deactivated at any time under 404 to 301 Setting > Help & Info > Plugin Information > Disable UAN, without affecting any other feature available in 404 to 301.
404 to 301 – Copyright © 2016.
Que traducido vendría a ser algo así:
Anuncios de texto de terceros
404 to 301 muestra textos suministrados por redes de terceros. Estas redes pueden recabar las direcciones IP de tus visitantes para propósitos de control de la distribución de enlaces de texto. 404 to 301 recaba estadísticas anónimas de uso.
Clicando en el botón de abajo [es el botón de aceptación del acuerdo de licencia] estás de acuerdo con los términos y condiciones y das permiso para colocar enlaces de texto en tu sitio web cuando un buscador acceda a él. El aspecto, rendimiento e interacción con visitantes humanos no deberían verse alterados ni afectados de ninguna forma. Puedes desactivar esta característica en cualquier momento en el menú de opciones en 404 to 301 Setting > Help & Info > Plugin Information > Disable UAN, sin afectar a ninguna otra función disponible en 404 to 301.
404 to 301 – Copyright © 2016.
¿Qué te parece? Ningún webmaster en su sano juicio que leyera el acuerdo aceptaría tal cosa, lo que ocurre es que nadie lo lee, y la dichosa opción está bien escondida y desde luego no se explica para qué sirve.
El resultado: pues que cuando Google o cualquier otro buscador accedían a una web que tenía activado el plugin encontraba un texto bastante extenso sobre créditos rápidos, incluyendo un enlace a una web que ofrecía productos de este tipo.
Por supuesto todo eso no se mostraba cuando se accedía a través de un navegador, pero afortunadamente alguien lo descubrió al hacer un test de velocidad a una web que tenía instalado el plugin, viendo el texto en la miniatura de previsualización que generaba la herramienta. Ver para creer.
Conclusión
Así que ya sabes, el equipo de revisión de plugins de WordPress ya está avisado, y el plugin será probablemente retirado del repositorio en las próximas horas. Pero si lo tienes instalado, ya estás tardando en borrarlo. Además, si utilizas algún sistema de cacheado, recuerda también limpiar la caché.
Por otro lado, si crees que tu web puede haber sido comprometida, te recuerdo que mi servicio de emergencias WordPress incluye la recuperación y limpieza de una web tras un hackeo. Para cualquier cosa que necesites estoy a tu disposición, como de costumbre, a través del formulario de contacto.
Actualización: el comunicado del desarrollador
El desarrollador del plugin ha publicado un comunicado al respecto.
Básicamente dice que para colaborar con otro desarrollador le dio acceso al código para recopilar estadísticas, y éste posteriormente cambió ese código por el malicioso. Lo cual, por cierto, no me devuelve ni la más mínima confianza en el autor del plugin. Pensar que permite a extraños incluir código en sus plugins… En fin, para mí queda desterrado no sólo éste, sino todos los plugins de los que es autor.
Por cierto, que también comenta que ha actualizado el plugin eliminando todo el código dañino y ha tratado la situación con el equipo de WordPress, por lo que parece que finalmente no retirarán el plugin del repositorio. Si lo usas, de ti depende mantenerlo o sustituirlo por otro similar, pero si sigues utilizándolo sobre todo actualiza cuanto antes y limpia la caché.
Jorge Baffa dice
Increhible lo que cuentas Enrique. Da miedo realmente.
Nunca utilicé ese plugin pero uno generalmente se confía de que lo que viene del repositorio de WP no ocasionará problemas y luego te encuentras con algo así.
También reconozco que no le suelo prestar atención a los informes de Wordfence. A estar más atento desde ahora.
Mil gracias por compartirlo.
Enrique J. Ros dice
Gracias por tu comentario, Jorge. Sí, de verdad es preocupante. Sé que el equipo de revisión de plugins de WordPress hace un buen trabajo (yo tengo un par de plugins en el repositorio, así que me consta que son exigentes).
El problema es que hay miles de plugins, y es humana y materialmente imposible revisar las actualizaciones de todos ellos, así que sólo pueden revisar la release inicial (y aún así hay una lista de espera de 7-10 días).
Afortunadamente el software libre tiene la ventaja de que hay mil ojos sobre cada línea de código. 🙂
Un saludo!
jorge alberto dice
que plugin recomienda que pueda redirreccionar el error 404 a 301 que me deje elejir un post o pagina creada o enlace personalizado