Corriger le piratage de mots clés et de liens dissimulés

Ce guide a été conçu spécifiquement pour un type de piratage qui ajoute à votre site des pages contenant beaucoup de mots clés et des liens vides. C'est ce que nous appelons le piratage par mots clés et liens dissimulés. Il est conçu pour les utilisateurs de systèmes de gestion de contenu (CMS) populaires, mais il peut vous être utile, même si vous n'utilisez pas de CMS.

Nous voulons nous assurer que ce guide vous est vraiment utile. Laissez-nous un commentaire pour nous aider à nous améliorer.

Identifier ce type de piratage

Le piratage par mots clés et liens dissimulés crée automatiquement de nombreuses pages contenant du texte, des liens et des images absurdes. Ces pages contiennent parfois des éléments de modèle de base du site d'origine. Ainsi, à première vue, les pages peuvent ressembler à des parties normales de votre site jusqu'à ce que vous en lisiez le contenu.

Les pages piratées sont créées dans le but de manipuler les facteurs de classement de Google. Les pirates informatiques tentent souvent de les monétiser en vendant les liens figurant sur les pages piratées à différents tiers. Souvent, les pages piratées redirigent également les visiteurs vers une page sans rapport avec laquelle les pirates informatiques peuvent gagner de l'argent.

Commencez par consulter l'outil Problèmes de sécurité dans la Search Console pour voir si Google a découvert l'une de ces pages piratées sur votre site. Vous pouvez également découvrir ce type de page en ouvrant une fenêtre de recherche Google et en saisissant site:_your site url_, avec l'URL racine de votre site. Les pages que Google a indexées pour votre site, y compris les pages piratées, s'affichent alors. Parcourez quelques pages de résultats de recherche pour voir si vous repérez des URL inhabituelles. Si vous ne trouvez pas de contenu piraté dans la recherche Google, utilisez les mêmes termes de recherche dans un autre moteur de recherche. Voici un exemple de ce à quoi cela ressemblerait:

Résultats de recherche générés par ce piratage.
Les pages piratées apparaissent dans les résultats de recherche Google.

En règle générale, lorsque vous cliquez sur un lien vers une page piratée, vous êtes redirigé vers un autre site ou vous voyez une page pleine de contenu vide de sens. Toutefois, vous pouvez également voir un message suggérant que la page n'existe pas (par exemple, une erreur 404). Ne vous trompez pas ! Les pirates essaieront de vous faire croire que la page a disparu ou qu'elle a été réparée alors qu'elle est encore piratée. Pour ce faire, ils utilisent des techniques de dissimulation (cloaking) pour cacher leur contenu. Vérifiez si votre site est concerné par le cloaking en saisissant ses URL dans l'outil d'inspection d'URL. L'outil Explorer comme Google vous permet de voir le contenu masqué sous-jacent.

Si vous rencontrez ces problèmes, votre site a probablement été affecté par ce type de piratage.

Exemple de page créée par ce piratage.
Exemple de page créée par ce piratage.

Blocage du piratage

Avant de commencer, créez une copie hors connexion des fichiers avant de les supprimer, au cas où vous auriez besoin de les restaurer plus tard. Mieux encore, sauvegardez l'intégralité de votre site avant de commencer le processus de nettoyage. Pour ce faire, enregistrez tous les fichiers qui se trouvent sur votre serveur à un emplacement hors de votre serveur ou recherchez les meilleures options de sauvegarde pour votre système de gestion de contenu (CMS) spécifique. Si vous utilisez un CMS, sauvegardez également la base de données.

Vérifier votre fichier .htaccess (trois étapes)

Le piratage par mots clés et liens dissimulés utilise votre fichier .htaccess pour créer automatiquement des pages dissimulées sur votre site. Familiarisez-vous avec les principes de base de .htaccess sur le site officiel d'Apache pour mieux comprendre l'impact du piratage sur votre site, mais ce n'est pas obligatoire.

Étape 1

Recherchez le fichier .htaccess sur votre site. Si vous ne savez pas où le trouver et que vous utilisez un CMS comme WordPress, Joomla ou Drupal, recherchez "emplacement du fichier htaccess" dans un moteur de recherche en indiquant le nom de votre CMS. Selon votre site, vous pouvez voir plusieurs fichiers .htaccess. Dressez la liste de tous les emplacements de fichier .htaccess.

Étape 2

Ouvrez le fichier .htaccess pour en afficher le contenu. Recherchez une ligne de code ressemblant à ceci:

RewriteRule (.*cj2fa.*|^tobeornottobe$) /injected_file.php?q=$1 [L]

Les variables de cette ligne peuvent changer. cj2fa et tobeornottobe peuvent être n'importe quel mélange de lettres ou de mots. L'important est d'identifier la valeur .php référencée sur cette ligne.

Notez le fichier .php mentionné dans le fichier .htaccess. Dans cet exemple, le fichier .php est nommé injected_file.php, mais en réalité, le nom du fichier n'est pas aussi évident. Il s'agit généralement d'un ensemble aléatoire de mots inoffensifs comme horsekeys.php ou potatolake.php. Il s'agit probablement d'un fichier .php malveillant que nous devrons rechercher et supprimer ultérieurement.

Étape 3

Remplacez tous les fichiers .htaccess par une version propre ou par défaut du fichier .htaccess. Vous pouvez généralement trouver une version par défaut d'un fichier .htaccess en recherchant "default .htaccess file" et le nom de votre CMS. Pour les sites comportant plusieurs fichiers .htaccess, recherchez une version propre de chacun d'eux et effectuez le remplacement.

Si aucun fichier .htaccess par défaut n'existe et que vous n'avez jamais configuré de fichier .htaccess sur votre site, le fichier .htaccess que vous trouvez sur votre site est probablement malveillant. Enregistrez une copie du ou des fichiers .htaccess hors connexion à partir de votre site, au cas où vous en auriez besoin.

Rechercher et supprimer d'autres fichiers malveillants (5 étapes)

L'identification des fichiers malveillants peut s'avérer délicate et chronophage. Prenez votre temps lors de la vérification de vos fichiers. Si vous ne l'avez pas encore fait, profitez-en pour sauvegarder les fichiers de votre site. Pour savoir comment sauvegarder votre site, effectuez une recherche Google sur "sauvegarder le site" et le nom de votre CMS.

Étape 1

Si vous utilisez un CMS, réinstallez tous les fichiers principaux (par défaut) inclus dans la distribution par défaut de votre CMS, ainsi que tous les éléments que vous avez éventuellement ajoutés (comme les thèmes, les modules, les plug-ins). Cela permet de s'assurer que ces fichiers sont exempts de contenu piraté. Pour trouver des instructions de réinstallation, recherchez dans Google "réinstaller" et le nom de votre CMS. Si vous disposez de plug-ins, de modules, d'extensions ou de thèmes, veillez à les réinstaller également.

Étape 2

Commencez par rechercher le fichier .php que vous avez identifié précédemment dans le fichier .htaccess. Selon la manière dont vous accédez aux fichiers sur votre serveur, vous devriez disposer d'une fonctionnalité de recherche. Recherchez le nom du fichier malveillant. Si vous le trouvez, créez d'abord une copie de sauvegarde et stockez-la à un autre emplacement au cas où vous auriez besoin de la restaurer, puis supprimez-la de votre site.

Étape 3

Recherchez d'éventuels fichiers malveillants ou infectés. Vous avez peut-être déjà supprimé tous les fichiers malveillants au cours des deux étapes précédentes, mais il est préférable de suivre les étapes suivantes au cas où il y aurait davantage de fichiers infectés sur votre site.

Ne vous laissez pas submerger en pensant que vous devez ouvrir et parcourir chaque fichier PHP. Commencez par créer une liste des fichiers PHP suspects que vous souhaitez examiner. Voici quelques façons d'identifier les fichiers PHP suspects:

  • Si vous avez déjà rechargé vos fichiers CMS, vérifiez uniquement les fichiers qui ne font pas partie de vos fichiers ou dossiers CMS par défaut. Cela devrait éliminer un grand nombre de fichiers PHP et vous laisser quelques fichiers à examiner.
  • Triez les fichiers de votre site en fonction de leur date de dernière modification. Recherchez les fichiers qui ont été modifiés quelques mois avant la découverte du piratage de votre site.
  • Triez les fichiers de votre site par taille. Recherchez les fichiers exceptionnellement volumineux.

Étape 4

Une fois que vous disposez de la liste des fichiers PHP suspects, vérifiez s'ils sont malveillants. Si vous n'êtes pas familier avec PHP, ce processus peut prendre plus de temps. Par conséquent, envisagez de revoir certains points de la documentation PHP. Si vous débutez en codage, nous vous recommandons d'obtenir de l'aide. En attendant, vous pouvez rechercher quelques modèles de base pour identifier les fichiers malveillants.

Si vous utilisez un CMS et que vous n'avez pas l'habitude de modifier ces fichiers directement, comparez les fichiers sur votre serveur à une liste des fichiers par défaut fournis avec le CMS, ainsi que des plug-ins et thèmes. Recherchez les fichiers qui n'appartiennent pas à cette liste ou qui sont plus volumineux que la version par défaut.

Tout d'abord, parcourez les fichiers suspects que vous avez déjà identifiés et recherchez de grands blocs de texte contenant une combinaison de lettres et de chiffres apparemment mélangés. Le grand bloc de texte est généralement précédé d'une combinaison de fonctions PHP telles que base64_decode, rot13, eval, strrev ou gzinflate. Voici un exemple de ce à quoi peut ressembler ce bloc de code. Parfois, tout ce code est inséré dans une longue ligne de texte, ce qui le rend plus petit qu'il ne l'est réellement.

// Hackers try to confuse webmasters by encoding malicious code into
// blocks of text. Be wary of unfamiliar code blocks like this.

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0Vn
ZgknbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2c
hVmcnBydvJGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2b
lRGI5xWZ0Fmb1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah
1GIvRHIzlGa0BSZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch
1GIlR2bjBCZlRXYjNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Parfois, le code n'est pas mélangé et ressemble à un script normal. Si vous n'êtes pas sûr que le code soit incorrect, consultez nos forums d'aide pour les webmasters. Un groupe de webmasters expérimentés pourra vous aider à examiner les fichiers.

Étape 5

Maintenant que vous savez quels fichiers sont suspects, créez une sauvegarde ou une copie locale en les enregistrant sur votre ordinateur, au cas où les fichiers ne seraient pas malveillants, et supprimez les fichiers suspects de votre site.

Vérifier l'intégrité de votre site

Une fois les fichiers piratés supprimés, vérifiez si votre travail a porté ses fruits. Vous souvenez-vous de ces pages vides de sens identifiées précédemment ? Utilisez à nouveau l'outil Explorer comme Google sur ces pages pour vérifier si elles existent toujours. S'ils répondent à la mention"Introuvable" dans cet outil, il y a de fortes chances que votre site soit nettoyé et que vous puissiez passer à la correction des failles sur votre site.

Comment ne plus être piraté ?

Pour finir de nettoyer votre site, il est indispensable d'en corriger les failles. Une étude récente a révélé que 20% des sites piratés sont de nouveau piratés en un jour. Il est très utile de savoir exactement comment votre site a été piraté. Pour commencer vos enquêtes, lisez notre guide sur les principales méthodes de piratage des sites Web par les spammeurs. Toutefois, si vous ne parvenez pas à comprendre comment votre site a été piraté, voici une checklist de ce que vous pouvez faire pour réduire les failles sur votre site:

  • Analysez régulièrement votre ordinateur:utilisez un antivirus classique pour rechercher les virus ou les failles.
  • Modifiez régulièrement vos mots de passe:modifiez régulièrement les mots de passe de tous vos comptes de site Web, comme votre fournisseur d'hébergement, FTP et votre CMS, afin d'empêcher tout accès non autorisé à votre site. Il est important de créer un mot de passe fort et unique pour chaque compte.
  • Utilisez l'authentification à deux facteurs (2FA):pensez à l'activer sur tous les services qui nécessitent une connexion. Avec cette méthode, il est plus difficile pour les pirates informatiques de se connecter, même s'ils réussissent à dérober votre mot de passe.
  • Mettez régulièrement à jour votre système de gestion de contenu, les plug-ins, les extensions et les modules:vous devez normalement déjà avoir effectué cette étape. De nombreux sites sont piratés parce qu'ils utilisent des logiciels obsolètes. Certains CMS acceptent la mise à jour automatique.
  • Pensez à vous abonner à un service de sécurité pour surveiller votre site:de nombreux services très performants peuvent vous aider à surveiller votre site moyennant des frais modiques. Pensez à vous enregistrer auprès de ces services afin de protéger votre site.

Ressources supplémentaires

Si vous n'arrivez toujours pas à réparer votre site, voici quelques ressources supplémentaires qui pourraient vous aider.

Ces outils analysent votre site et sont en mesure de détecter des contenus problématiques. Hormis VirusTotal, nous ne gérons aucun de ces outils et nous n'en sommes pas non plus responsables.

Ce ne sont là que quelques exemples d'outils qui peuvent être en mesure d'analyser votre site à la recherche de contenus problématiques. Gardez à l'esprit que ces analyseurs ne peuvent pas garantir qu'ils identifieront tous les types de contenus problématiques.

Les ressources supplémentaires Google suivantes pourront vous aider :