L'hack pharma è un exploit che sfrutta le vulnerabilità nei documenti WordPress o Joomla, facendo sì che i motori di ricerca, in particolare quello ospitato da Google, restituiscano annunci per prodotti farmaceutici insieme a elenchi legittimi. L'hacking può essere difficile da rilevare perché non influisce sulle pagine visualizzate del sito Web o blog compromesso.
Lo scopo dell'hacking farmaceutico è fare in modo che i siti di vendita farmaceutica che stanno promuovendo appaiano più in alto nei risultati di Google di quanto non sarebbero altrimenti. Il motore di ricerca di Google classifica l'elenco dei risultati per un determinato sito Web in base (tra gli altri fattori) al numero di siti esterni che si collegano ad esso. Inserendo il codice canaglia nel sito di una vittima ignara, l'hack in effetti collega quel sito al sito del cracker. Se eseguita su una scala sufficientemente ampia, questa tattica può far sì che il sito Web del cracker venga visualizzato in cima a vari elenchi di risultati risultanti da ricerche basate su parole chiave.
In WordPress, l'hack pharma comprende file nella cartella dei plugin che contengono codice dannoso che esegue altro codice mascherato nel database. Il codice viene mascherato invertendo l'ordine delle stringhe, rendendo così il problema difficile da rilevare come un hack. Affinché l'hacker funzioni, i file dannosi devono essere presenti nella cartella dei plug-in. Una volta attivato, l'hacking esegue il ping di Google per scoprire quanti collegamenti esistono per una particolare pagina Web elencata. Più link ha una pagina, più un obiettivo è "desiderabile" e maggiore è la probabilità che venga violato.
Per scoprire se un determinato sito è stato compromesso dall'hacking farmaceutico, gli esperti consigliano di inserire una sequenza di caratteri specifica nel motore di ricerca di Google. Digita "sito" seguito da due punti, quindi il nome del dominio seguito da uno spazio, quindi "Viagra" e infine premi il pulsante di ricerca. Se il sito è stato interessato, verranno visualizzate descrizioni insolite collegate a pagine effettive o post del blog. Il tag del titolo modificato e i collegamenti possono essere visualizzati solo nei risultati di ricerca, non nel sito compromesso stesso.
Le vittime dell'hacking farmaceutico hanno segnalato una diminuzione del traffico sui loro siti e, in alcuni casi, la rimozione dei loro siti da parte di Google dagli elenchi dei risultati di ricerca. Poiché i proprietari di siti Web non possono vedere prontamente quando sono stati hackerati da farmaci, la reputazione online di un'azienda o di un individuo legittimo può essere seriamente danneggiata prima che il codice canaglia possa essere rimosso. Una volta scoperto, il codice può essere estratto dai file interessati, sebbene il processo possa richiedere molto tempo e fatica.