Blocage du piratage par mots clés pour le japonais

Ce guide a été conçu spécifiquement pour un type de piratage qui crée du texte en japonais généré automatiquement sur votre site. C'est ce que nous appelons le "piratage par mots clés en japonais". Il est conçu pour les utilisateurs de systèmes de gestion de contenu (CMS) populaires, mais il peut vous être utile, même si vous n'utilisez pas de CMS.

Nous voulons nous assurer que ce guide vous est vraiment utile. Laissez-nous un commentaire pour nous aider à nous améliorer.

Identifier ce type de piratage

Le piratage par mots clés japonais crée généralement de nouvelles pages contenant du texte japonais généré automatiquement sur votre site dans des noms d'annuaire générés de manière aléatoire (par exemple, http://example.com/ltjmnjp/341.html). Ces pages sont monétisées à l'aide de liens d'affiliation vers des boutiques vendant des articles de contrefaçon, puis affichées dans la recherche Google. Voici un exemple de l'une de ces pages:

Exemple de page avec le mot clé japonais "piratage"
Page de texte générée par le piratage par mots clés en japonais

Avec ce type de piratage, le pirate informatique s'ajoute généralement en tant que propriétaire dans la Search Console, afin d'augmenter ses bénéfices en modifiant les paramètres de votre site, tels que le ciblage géographique ou les sitemaps. Si vous avez reçu une notification indiquant qu'un inconnu a validé votre site dans la Search Console, il est fort probable que votre site ait été piraté.

Commencez par consulter l'outil Problèmes de sécurité dans la Search Console pour voir si Google a découvert l'une de ces pages piratées sur votre site. Vous pouvez également découvrir ce type de page en ouvrant une fenêtre de recherche Google et en saisissant site:_your site url_, avec l'URL racine de votre site. Les pages que Google a indexées pour votre site, y compris les pages piratées, s'affichent alors. Parcourez quelques pages de résultats de recherche pour voir si vous repérez des URL inhabituelles. Si vous ne trouvez pas de contenu piraté dans la recherche Google, utilisez les mêmes termes de recherche dans un autre moteur de recherche. Voici un exemple de ce à quoi cela ressemblerait:

Exemple de site piraté dans les résultats de recherche
Les pages piratées apparaissent dans les résultats de recherche Google.

En règle générale, lorsque vous cliquez sur un lien vers une page piratée, vous êtes redirigé vers un autre site ou vous voyez une page pleine de contenu vide de sens. Toutefois, vous pouvez également voir un message suggérant que la page n'existe pas (par exemple, une erreur 404). Ne vous trompez pas ! Les pirates essaieront de vous faire croire que la page a disparu ou qu'elle a été réparée alors qu'elle est encore piratée. Pour ce faire, ils utilisent des techniques de dissimulation (cloaking) pour cacher leur contenu. Vérifiez si votre site est concerné par le cloaking en saisissant ses URL dans l'outil d'inspection d'URL. L'outil Explorer comme Google vous permet de voir le contenu masqué sous-jacent.

Si vous rencontrez ces problèmes, votre site a probablement été affecté par ce type de piratage.

Blocage du piratage

Avant de commencer, créez une copie hors connexion des fichiers avant de les supprimer, au cas où vous auriez besoin de les restaurer plus tard. Mieux encore, sauvegardez l'intégralité de votre site avant de commencer le processus de nettoyage. Pour ce faire, enregistrez tous les fichiers qui se trouvent sur votre serveur à un emplacement hors de votre serveur ou recherchez les meilleures options de sauvegarde pour votre système de gestion de contenu (CMS) spécifique. Si vous utilisez un CMS, sauvegardez également la base de données.

Supprimer les comptes nouvellement créés de la Search Console

Si un nouveau propriétaire que vous ne reconnaissez pas a été ajouté à votre compte Search Console, révoquez son accès dès que possible. Vous pouvez vérifier quels utilisateurs sont validés pour votre site sur la page de validation de la Search Console. Cliquez sur "Détails de la validation" pour le site afin d'afficher tous les utilisateurs validés.

Pour supprimer un propriétaire de la Search Console, consultez la section "Supprimer le propriétaire" de la page Gérer les utilisateurs, les propriétaires et les autorisations du centre d'aide. Vous devez supprimer le jeton de validation associé. Il s'agit généralement d'un fichier HTML à la racine de votre site ou d'un fichier .htaccess généré dynamiquement imitant un fichier HTML.

Si vous ne trouvez pas de jeton de validation HTML sur votre site, recherchez une règle de réécriture dans votre fichier .htaccess. La règle de réécriture se présente comme suit:

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

Pour supprimer le jeton de validation généré dynamiquement de votre fichier .htaccess, procédez comme suit:

Vérifier votre fichier .htaccess (2 étapes)

En plus d'utiliser un fichier .htaccess pour créer des jetons de validation générés dynamiquement, les pirates informatiques utilisent souvent des règles .htaccess pour rediriger les utilisateurs ou créer des pages de spam vides de sens. Si vous n'avez pas de règles .htaccess personnalisées, envisagez de remplacer votre .htaccess par une toute nouvelle copie.

Étape 1

Recherchez le fichier .htaccess sur votre site. Si vous ne savez pas où le trouver et que vous utilisez un CMS comme WordPress, Joomla ou Drupal, recherchez "emplacement du fichier htaccess" dans un moteur de recherche en indiquant le nom de votre CMS. Selon votre site, vous pouvez voir plusieurs fichiers .htaccess. Dressez la liste de tous les emplacements de fichier .htaccess.

Étape 2

Remplacez tous les fichiers .htaccess par une version propre ou par défaut du fichier .htaccess. Vous pouvez généralement trouver une version par défaut d'un fichier .htaccess en recherchant "default .htaccess file" et le nom de votre CMS. Pour les sites comportant plusieurs fichiers .htaccess, recherchez une version non infectée de chacun d'eux et remplacez-les.

Si aucun fichier .htaccess par défaut n'existe et que vous n'avez jamais configuré de fichier .htaccess sur votre site, le fichier .htaccess que vous trouvez sur votre site est probablement malveillant. Enregistrez une copie du ou des fichiers .htaccess hors connexion au cas où, et supprimez le fichier .htaccess de votre site.

Supprimer tous les scripts et les fichiers malveillants (quatre étapes)

L'identification des fichiers malveillants peut s'avérer délicate et chronophage. Prenez votre temps lors de la vérification de vos fichiers. Si vous ne l'avez pas encore fait, profitez-en pour sauvegarder les fichiers de votre site. Pour savoir comment sauvegarder votre site, effectuez une recherche Google sur "sauvegarder le site" et le nom de votre CMS.

Étape 1

Si vous utilisez un CMS, réinstallez tous les fichiers principaux (par défaut) inclus dans la distribution par défaut de votre CMS, ainsi que tous les éléments que vous avez ajoutés (comme les thèmes, les modules ou les plug-ins). Cela permet de s'assurer que ces fichiers sont exempts de contenu piraté. Pour trouver des instructions de réinstallation, recherchez dans Google "réinstaller" et le nom de votre CMS. Si vous disposez de plug-ins, de modules, d'extensions ou de thèmes, veillez à les réinstaller également.

Étape 2

Les pirates informatiques modifient souvent votre sitemap ou en ajoutent de nouveaux pour que leurs URL soient indexées plus rapidement. Si vous possédiez auparavant un fichier sitemap, vérifiez qu'il ne contient pas de liens suspects, puis supprimez-les de votre sitemap. Si vous ne vous souvenez pas avoir ajouté des fichiers sitemap à votre site, vérifiez-les et supprimez-les s'ils ne contiennent que des URL contenant du spam.

Étape 3

Recherchez d'autres fichiers malveillants ou infectés. Vous avez peut-être déjà supprimé tous les fichiers malveillants au cours des deux étapes précédentes, mais il est préférable de suivre les étapes suivantes au cas où d'autres fichiers sur votre site auraient été compromis.

Ne vous laissez pas submerger en pensant que vous devez ouvrir et parcourir chaque fichier PHP. Commencez par créer une liste des fichiers PHP suspects que vous souhaitez examiner. Voici quelques façons d'identifier les fichiers PHP suspects:

  • Si vous avez déjà rechargé vos fichiers CMS, vérifiez uniquement les fichiers qui ne font pas partie de vos fichiers ou dossiers CMS par défaut. Cela devrait éliminer un grand nombre de fichiers PHP et vous laisser quelques fichiers à examiner.
  • Triez les fichiers de votre site en fonction de leur date de dernière modification. Recherchez les fichiers qui ont été modifiés quelques mois avant la découverte du piratage de votre site.
  • Triez les fichiers de votre site par taille. Recherchez les fichiers exceptionnellement volumineux.

Étape 4

Une fois que vous disposez d'une liste de fichiers PHP suspects, vérifiez qu'ils ne contiennent pas de contenu malveillant. Si vous n'êtes pas familier avec PHP, ce processus peut prendre plus de temps. Par conséquent, envisagez de revoir certains points de la documentation PHP. Si vous débutez en codage, nous vous recommandons d'obtenir de l'aide. En attendant, vous pouvez rechercher quelques modèles de base pour identifier les fichiers malveillants.

Si vous utilisez un CMS et que vous n'avez pas l'habitude de modifier ses fichiers PHP directement, comparez les fichiers sur votre serveur à une liste des fichiers par défaut fournis avec le CMS, ainsi que des plug-ins et thèmes. Recherchez les fichiers qui n'appartiennent pas à cette liste ou qui sont plus volumineux que la version par défaut.

Parcourez les fichiers suspects que vous avez déjà identifiés pour rechercher des blocs de code obscurci. Cela peut ressembler à une combinaison de lettres et de chiffres apparemment mélangés, généralement précédée par une combinaison de fonctions PHP telles que base64_decode, rot13, eval, strrev ou gzinflate. Voici un exemple de ce à quoi peut ressembler le bloc de code. Parfois, tout ce code est empaqueté dans une longue ligne de texte, ce qui le rend plus petit qu’il ne l’est en réalité.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Vérifier l'intégrité de votre site

Une fois les fichiers piratés supprimés, vérifiez si votre travail a porté ses fruits. Vous souvenez-vous de ces pages vides de sens identifiées précédemment ? Utilisez à nouveau l'outil Explorer comme Google sur ces pages pour vérifier si elles existent toujours. S'ils répondent à la mention"Introuvable" dans cet outil, il y a de fortes chances que votre site soit plutôt bien rangé et que vous puissiez passer à la correction des failles sur votre site.

Comment ne plus être piraté ?

Pour finir de nettoyer votre site, il est indispensable d'en corriger les failles. Une étude récente a révélé que 20% des sites piratés sont de nouveau piratés en un jour. Il est très utile de savoir exactement comment votre site a été piraté. Pour commencer vos enquêtes, lisez notre guide sur les principales méthodes de piratage des sites Web par les spammeurs. Toutefois, si vous ne parvenez pas à comprendre comment votre site a été piraté, voici une checklist de ce que vous pouvez faire pour réduire les failles sur votre site.

  • Analysez régulièrement votre ordinateur:utilisez un antivirus classique pour rechercher les virus ou les failles.
  • Modifiez régulièrement vos mots de passe:modifiez régulièrement les mots de passe de tous vos comptes de site Web, comme votre fournisseur d'hébergement, FTP et votre CMS, afin d'empêcher tout accès non autorisé à votre site. Il est important de créer un mot de passe fort et unique pour chaque compte.
  • Utilisez l'authentification à deux facteurs (2FA):pensez à l'activer sur tous les services qui nécessitent une connexion. Avec cette méthode, il est plus difficile pour les pirates informatiques de se connecter, même s'ils réussissent à dérober votre mot de passe.
  • Mettez régulièrement à jour votre système de gestion de contenu, les plug-ins, les extensions et les modules:vous devez normalement déjà avoir effectué cette étape. De nombreux sites sont piratés parce qu'ils utilisent des logiciels obsolètes. Certains CMS acceptent la mise à jour automatique.
  • Pensez à vous abonner à un service de sécurité pour surveiller votre site:de nombreux services très performants peuvent vous aider à surveiller votre site moyennant des frais modiques. Pensez à vous enregistrer auprès de ces services afin de protéger votre site.

Ressources supplémentaires

Si vous n'arrivez toujours pas à réparer votre site, voici quelques ressources supplémentaires qui pourraient vous aider.

Ces outils analysent votre site et sont en mesure de détecter des contenus problématiques. Hormis VirusTotal, nous ne gérons aucun de ces outils et nous n'en sommes pas non plus responsables.

Ce ne sont là que quelques exemples d'outils qui peuvent être en mesure d'analyser votre site à la recherche de contenus problématiques. Gardez à l'esprit que ces analyseurs ne peuvent pas garantir qu'ils identifieront tous les types de contenus problématiques.

Les ressources supplémentaires Google suivantes pourront vous aider :