Votre site est victime du piratage par mots clés Japonais ?
Mon site a t-il été ciblé par le piratage par mots clés Japonais ?
Si votre site s’affiche en Chinois / Japonais lors d’une recherche Google, malheureusement, il est déjà trop tard, vous avez été piraté par une méthode de piratage nommée « cloaking » ou encore « Japanese Keyword Hack » . Cette méthode consiste à afficher un contenu différent pour les visiteurs et pour les moteurs de recherche.
Une sorte de triche au référencement, le cloaking permet de faire grimper une page dans les résultats de recherche avec du contenu dissimulé.
Voici à quoi votre site pourrait ressembler lors d’une recherche, suite à une attaque :
De votre côté, vous allez constater quelques dysfonctionnements mais pas forcément de changements au niveau de l’affichage des pages.
Dans 90% des cas, on observe :
- Des erreurs 500 aléatoires
- Des restrictions d’accès au back office
- Des restrictions d’accès au sous-menu du back office
- Blocage des mises à jour des extensions WordPress
Il est aussi possible de voir un message comme celui ci :
Cependant, Google ne verra pas la même chose que vous, il verra des pages de publicités permettant la vente de produits comme par exemple, des pneus, des médicaments, de la crypto monnaie, vêtements de luxe etc … un contenu totalement différent du votre. Vous pouvez voir ce que Google voit en testant votre site dans un détecteur de cloaking.
Exemple de contenu dissimulé suite à une attaque par mots clés Japonais:
Le but premier du pirate est de référencer des produits par l’intermédiaire de votre site. Il enverra par la suite les nouvelles pages créées sur votre site à Google via l’intermédiaire d’un sitemap pour accélérer l’indexation. Une fois l’indexation des pages du sitemap lancée, vous allez observer un nombre considérable de pages dans les résultats de recherche. Dans certains cas, nous avons constaté l’indexation de 250 000 pages en l’espace de 48 heures avec un total de plus de 7 millions de pages en attente d’indexation.
Les effets d’une attaque par mots clés japonais sur votre référencement naturel
Points clés :
- Perte de 68% du trafic organique (en provenance de Google)
- 856 mots clés positionnés au Japon
- Ajout de données structurées dans les résultats de recherche (étoile de vote)
Si vous avez repéré et nettoyé le serveur du piratage par mots clés japonais, coréen ou chinois, vous risquez de voir des milliers de pages s’indexer malgré leur suppression. Le hack par mots clés Japonais génère tellement d’url, qu’elles se mettent en attente d’indexation et cela peut durer plusieurs semaines voir plusieurs mois avant de se débarrasser complètement des traces du piratage par mots clés Japonais.
Le piratage par cloaking est assez complexe à éradiquer, sans connaissance poussées en PHP, l’appel d’un professionnel en sécurisation de site web sera à prioriser avant que Google vous pénalise via ses algorithmes et fasse disparaître votre site pour la dangerosité qu’il représente.
Pourquoi un hacker a t-il dissimulé du contenu sur votre site ?
Dans la majorité des hack par mots clés Japonais, le contenu dissimulé est une boutique avec de nombreux produits. Sur tous les produits générés, pages, articles, seront placés des liens qui eux, pointeront vers un autre site, ce qui boostera le référencement naturel du site ciblé.
Le pirate utilise la dissimulation de contenu dans le but d’être discret, son but est d’éviter que vous vous en rendiez compte, ce qui permettra de laisser du temps aux sitemaps envoyés, de s’indexer dans les résultats de recherche.
Comment fonctionne le hack par cloaking ?
Le cloaking est une technique utilisée par certains webmasters (Black Hat SEO) pour améliorer leur classement dans les résultats de recherche. Le but est de présenter un contenu différent à Google, que celui présenté aux utilisateurs humains.
Le site possèdera donc des balises META réservés aux moteurs de recherche alors que le contenu affiché sur la page elle-même est optimisé pour les internautes. En théorie, cette technique permet de mieux cibler une audience et d’améliorer le positionnement d’un site dans les résultats de recherche. Certains utilisent cette technique pour de la vente par affiliation de façon à cacher certains liens aux différents moteurs de recherche.
Cependant, il est important de noter que le cloaking est considéré comme une pratique frauduleuse par les moteurs de recherche, et peut entraîner des sanctions sévères comme un « filtre » Google.Pour faire simple, vous avez 150 pages sur votre site et du jour au lendemain, vous n’en avez plus que 4 qui de plus, deviennent introuvables dans les résultats de recherche.
Comment éviter un piratage par mots clés Japonais (cloaking) ?
Le meilleur conseil est de mettre à jour son site régulièrement, dans le cas ou vous utiliseriez un CMS type WordPress, il est préférable de maintenir à jour les extensions le plus souvent possible ainsi que la version PHP utilisée pour votre serveur, votre version de WordPress ainsi que la version de votre thème.
Les mises à jour WordPress permettent d’apporter de nouvelles options mais aussi de corriger des failles de vulnérabilités. Il est donc important garder son site à jour pour éviter de subir une attaque exploitant une des failles de vulnérabilité de site web.
Bonnes pratiques à suivre :
Authentification robuste : Veillez à l’élaboration de mots de passe solides pour le FTP, la DB, et l’interface admin. Ne recourez pas aux codes par défaut ou trivialement prévisibles.
Contrôle d’accès renforcé : Configurez une limite stricte sur le nombre d’essais de connexion à votre interface pour contrer les tentatives d’intrusion par brute force.
Audit constant : Intégrez des solutions de monitoring avancées pour détecter toute anomalie, potentiel maliciel ou comportement suspect sur votre infrastructure.
Connexions chiffrées : Adoptez systématiquement le protocole HTTPS pour garantir l’intégrité et la confidentialité des données échangées.
Gestion des droits : Revoyez périodiquement les ACLs pour vous assurer que seuls les acteurs légitimes ont accès à vos ressources, minimisant ainsi les risques de modifications non désirées.
Stratégie de sauvegarde : Maintenez un système de backups réguliers, idéalement versionnés, stockés à la fois sur des solutions cloud et des dispositifs hors-ligne.
Validation des plugins : Avant tout déploiement d’un plugin ou d’une extension, effectuez une revue de son code, validez sa provenance et assurez-vous de l’absence de failles connues.
Veille technologique : Restez à la pointe de l’évolution du secteur de la cybersécurité, en intégrant les dernières méthodologies, outils et pratiques recommandées.
Comment réparer le piratage par mots clés Japonais?
La première chose à faire et avant tout de lancer une sauvegarde de votre serveur FTP ainsi que de votre base de données. C’est la base avant toute manipulation !
La deuxième chose à faire est de supprimer les fichiers de code malveillants car c’est le code injecté dans vos fichiers qui permet de générer les urls avec mots clés Japonais et tout le contenu dissimulé.
Cependant, il faut être certains de ne rien laisser car le pirate cache généralement un shell permettant de prendre le contrôle du serveur et donc de renvoyer les fichiers supprimés par vos soins pour relancer le piratage par mots clés Japonais. Il est important de savoir que dans la majorité des cas, les attaques sont automatisées et ciblent des failles connues et les exploitent sans intervention humaine.
Sachant que Google détecte assez aisément les manipulations (contenu dissimulé) il est préférable de faire appel à un professionnel pour être certains que ça ne revienne plus et de ne pas recevoir une pénalité.
Il faut bien comprendre que l’algorithme Google est un robot, il pourrait parfaitement penser que vous ne subissez pas un piratage mais que vous essayez de tromper l’algorithme de positionnement pour gagner quelques positions sur certains mots clés.
Donc prudence, il est bien plus complexe de lever une pénalité SEO qu’une pénalité manuelle pour « site dangereux ».
Les conséquences du piratage par mots clés Japonais sont diverses:
- Perte de trafic organique au niveau national (suite aux modifications des balises META title / description)
- Hausse de trafic importante en provenance d’Asie (suite aux modifications des balises META title / description)
- Affichage d’une page indiquant que votre site est dangereux
- Augmentation considérable du taux d’impression dans la Search Console Google
- Augmentation considérable du taux de clic
- Augmentation du taux de rebond
- Pénalité Google
- Désindexation complète de votre site avec perte de 100% de votre référencement
- Perte de police d’écriture
- Perte de l’accès au back office ou des sous menus de votre administration
- Injection de code dans des fichiers sensibles
- Modification des permissions d’écriture / lecture
Quels outils pour réparer le piratage par mots clés japonais ?
Dans le cas ou vous utiliseriez un CMS comme WordPress, je vous déconseille de vous baser sur les résultats d’un scanner de vulnérabilités, en effet, ils ne sont pas capable de détecter la totalité du code malveillant.
Il est possible d’observer des redirection via différentes fonctions Javascript qui ne sont, de base, pas considérées comme du code malveillant, ce qui rend la tâche assez complexe car il est humainement impossible de chercher manuellement un bout de code dans des milliers de fichiers contenant parfois plus d’une dizaine de milliers de lignes de code.
Les recherches doivent être précises et cibler des fonctions PHP souvent utilisées dans des piratages par cloaking.
Qui contacter pour réparer un piratage par mots clés Japonais ?
Lorsque nous intervenons, nous proposons la désinfection ainsi que la sécurisation de votre site web qui est indispensable car vous le savez, tout ce qui est populaire est une cible potentielle. WordPress étant le CMS le plus utilisé, il est donc normal qu’il soit régulièrement la cible d’attaques en tout genre.
Nous supprimons par la même occasion la pénalité Google liée au piratage de votre site pour un maximum de résultat en un minimum de temps.
En cas de réinfection post intervention dans un délai de 6 mois, nous intervenons gratuitement (ce n’est encore jamais arrivé mais sait on jamais !). De plus, nous intervenons rapidement, généralement, nous corrigeons les piratage par mots clés Japonais en moins de 24 heures, qu’il y ait une pénalité manuelle de Google ou non.
Vigilance sur les prestataires, vérifier à qui vous confiez vos accès pour éviter d’aggraver la situation
Attention, beaucoup de prestataires usurpent des fonctions qu’ils n’ont pas comme « expert en cyber sécurité » ou « développeur » sans avoir jamais codé une ligne de code.
Pour vérifier la légitimité d’un prestataire, c’est très simple:
- – Cherchez les avis Google, si vous ne trouvez rien, c’est louche ! Quand on cache ces avis ce n’est pas pour rien.
- – Trouver son profil codeur.com , c’est la plateforme de référence des développeurs. Codeur n’est pas une étape obligatoire dans la vie d’un développeur mais ça reste la référence.
- – Vérifiez les mentions légales, si il n’y en a pas, fuyez ! Pas de mentions légales = illégal.
- – Si il y a des mentions légales, faites votre enquête sur le nom du prestataire. prenez le numéro de SIRET et collez le sur https://www.societe.com/ , si ça ne donne rien, c’est que la société n’existe pas.
- – Renseignez vous, contactez ses clients si vous le pouvez, il est impératif de ne pas confier vos identifiants à un prestataire malhonnête. Il pourrait injecter un backdoor indétectable sur votre site pour relancer des infections quand il le souhaite. C’est pour cette raison que nous proposons une garantie qui consiste à intervenir gratuitement en cas de réinfection.
Voici certains clients qui sont venu vers moi après qu’ils se soient fait entourlouper par de soi-disant experts qui en réalité, sont simplement des vendeurs sans aucune compétences qui profitent de la situation pour se remplir les poches.
Exemple de mail reçu d’un client après qu’il ait donné sa confiance à un prestataire peu scrupuleux :
Voila l’exemple typique, le piratage viendrait de l’hébergeur … si c’était le cas, cela voudrait dire que des centaines de milliers d’entreprises ont été piraté sans même que l’information ait circulée dans les médias. (oui, ils osent tout)
Le temps de répondre au mail, le prestataire s’est empressé de lancer la migration du site du client pour qu’aucun retour en arrière puisse être possible et qu’il puisse tranquillement facturer toutes ces choses que personne n’a demandé et qui sont parfaitement inutiles.
Et vous repartez avec une migration, un changement d’adresse IP, une perte de positionnement de vos mots clés, une baisse de trafic, perte de chiffre et une maintenance à payer chaque mois, et le tout, avec une facture surprise à 4 chiffres.
Sachez qu’en AUCUN CAS, une migration peut changer la situation en cas de piratage, c’est tout simplement impossible car ça n’a aucun rapport ni de près ni de loin. Les vulnérabilités proviennent du code qui compose votre site, déplacer votre site , c’est déplacer le code et donc la faille, ça n’arrêtera rien.
Il était important d’évoquer ce sujets et les astuces pour ne pas se faire avoir car les témoignages s’accumulent. Le pire, est que pour certains, lors de la migration forcée, le prestataire à pu, sans aucun scrupule, débloquer le nom de domaine et le transférer sur son serveur (évoquant tout un tas de prétextes fallacieux), à partir de la, plus rien ne vous appartient, votre site n’est plus à vous et c’est définitif.
Ce qui peut être dramatique pour votre entreprise, tout en sachant que dans la majorité des cas, ces prestataires se trouvent hors union Européenne, ils ne risquent pas grand chose car ils savent qu’une procédure serait longue, coûteuse et n’aboutirait probablement jamais.
Et c’est pour cette raison que nous facturons uniquement au résultat et que nous garantissons l’intervention. Si ça recommence, on intervient gratuitement, sans aucune limite. (ce qui n’est encore jamais arrivé). De cette façon aucune mauvaise surprise.
Comment contrer l’argument du « l’hébergeur s’est fait pirater » ?
Si un prestataire vous raconte cette histoire fantastique, rendez vous sur https://spyonweb.com/ et entrer votre nom de domaine.
Ce site permet d’afficher différents sites présents sur le même serveur que le vôtre. Si l’hébergeur est piraté, ça signifie que la totalité des sites qui vont s’afficher sont aussi piraté.
Prenez quelques sites dans ceux qui apparaissent puis tapez sur google : site:lesite.fr
Si vous ne voyez pas de caractères Japonais, c’est que le prestataire essaie de vous raconter des histoire pour facturer encore et encore.
Demander des preuves concrètes de la vulnérabilité avec des extraits de logs serveur
C’est ce qui fera la différence entre une réelle expertise et une simple installation de plugin. Les extraits de logs contiennent tout ce qu’il se passe sur votre serveur. On y trouve donc l’adresse IP du pirate, et ce qu’il a fait, à l’heure précise.
Extraits de logs serveur suite à un piratage
Ce que l’on voit en surbrillance est un chemin que le pirate a utilisé pour relancer le piratage et l’injection de fichiers malveillants. Dans ce repertoire « et-cache/1576 », se trouvait un fichier indétectable par les scanners. En suivant le même chemin que le pirate, voici ce qui a été trouvé :
C’est ce que l’on appelle un « Shell », ou encore, une porte dérobée, elle permet de prendre le contrôle du serveur et de le conserver même en cas de modification des accès. C’est redoutable ! généralement, le pirate injecte un shell quelques semaines avant de lancer le véritable piratage. La raison est simple, dans la majorité des cas, les hébergeurs permettent de restaurer une sauvegarde antérieure de 2 semaines. En laissant le Shell 3 semaines / 1 mois, le pirate sait que même avec une restauration, il reprendra le contrôle.
Quelles sont les conséquences du hack par mots clés japonais sur le long terme ?
Dans le cas ou votre site a été nettoyé rapidement, Google oubliera cette histoire et repositionnera votre site aux places qu’il détenait avant le piratage par mots clés japonais, c’est pour cette raison qu’il est important de ne pas se lancer dans un travail comme celui ci sans être certains de ne rien oublier.
Car malgré la désinfection du serveur FTP, il est fort possible que l’on puisse retrouver des injections de code en base de données, il faut être certains de ce que l’on modifie / supprime pour ne pas casser le site plus qu’il ne l’est.
Imaginons que vous fassiez une erreur, cela demanderait une restauration de votre base de données, si sur ce laps de temps, un client a passé commande sur votre site, cette commande ainsi que l’utilisateur serait donc supprimé de votre base de données, effaçant alors toute trace d’achat.
Supprimer les urls suite à un piratage par mots clés Japonais ?
Lors de nos interventions, nous utilisons une méthode de désindexation spécifique et peu connue qui permet d’accélérer le processus de prise en compte des urls par l’algorithme Google. Cela permet d’accélérer la désindexation avec un gain d’environ 60% de rapidité sur la prise en compte de la demande par les robots d’indexation.
Sinon, il n’y a pas de solution magique, différentes possibilités restent intéressantes comme la mise en place de redirections 301 permettant de diminuer le Taux de rebond (attention, cela implique une désindexation des urls, plus longue) ou encore les redirections 410, qui permettent d’indiquer à Google que les urls sont à supprimer définitivement.
Surtout, ne pas utiliser les outils de suppression proposés dans la Search Console car la aussi, une fausse manipulation et votre site disparaît complètement de Google en une dizaine de minutes pour un délai de 6 mois donc attention !
De plus, l’outil de suppression d’url dans la search console fonctionne sur la base de préfixe , hors, le piratage par mots clés Japonais est fait de sorte qu’il n’y a aucune similitude entre les différentes urls, il n’est donc pas possible de les supprimer en masse et/ou d’ajouter des restrictions d’indexation dans votre fichier robots.txt.
Il est aussi possible de faire une suppression de la version d’une url en cache Google. Google Enregistre les pages qu’il visite, vous pouvez voir ce que Google enregistre en tapant:
cache:votresite.com
Cette méthode poussera GoogleBot a repasser sur l’url de façon à enregistrer les nouvelles modifications (suite au nettoyage).
La sécurité en ligne est cruciale pour maintenir la crédibilité et le bon fonctionnement de tout site web. La vigilance et l’actualisation régulière des systèmes sont nos meilleures défenses contre les menaces telles que le « cloaking ». Si un problème est détecté, l’intervention rapide d’un expert est primordiale.
Avis Google
Questions courantes sur le piratage par mots clés Japonais
✅ Comment désinfecter / nettoyer / protéger mon site web ?
Il faut tout d'abord détecter la totalité des fichiers infectés qui se trouvent sur le serveur, il suffit d'en oublié un seul pour que tout recommence dans les heures / jours qui suivent. (Ils peuvent se dupliquer sur la totalité du serveur et parcourir les différents répertoires et ainsi toucher la totalité de vos sites)
✅ Si je supprime tous les fichiers, est-ce que mon site sera sécurisé ?
Non, la majorité des intrusions, injections sont en réalité, réalisées par des robots et non par des humains, il est donc nécessaire de trouver l'origine de la faille de vulnérabilité. Sans cela, ce n'est qu'une question de temps avant que le malware s'installe à nouveau sur votre serveur.
✅ Est-ce qu'un certificat SSL peut protéger mon site ?
Alors oui et non ! Il peut protéger votre site sur certains points, il protégera l'envoi de données par vos formulaires par exemple mais il n'empêchera pas une intrusion sur votre serveur, un certificat SSL ne vous protégera pas par exemple, d'une vulnérabilité XSS provenant d'un plugin faillible.
✅ Comment protéger mon site contre les pirates ?
Il est préférable de faire appel à un professionnel. Les analyses de vulnérabilités, la recherche de malware demande une maîtrise de plusieurs outils dont des scanners spécifiques. Cependant, il est fortement recommandé d'appliquer les bases comme par exemple la mise à jour de la version PHP de votre serveur, mise à jour de votre CMS, utiliser des mots de passe avec caractères spéciaux etc ...