Votre site est victime du piratage par mots clés Japonais ?
Si votre site s’affiche en Chinois / Japonais lors d’une recherche Google, malheureusement, il est déjà trop tard, vous avez été piraté par une méthode de piratage nommée “cloaking” ou encore “Japanese Keyword Hack” . Cette méthode consiste à afficher un contenu différent pour les visiteurs et pour les moteurs de recherche.
Une sorte de triche au référencement, le cloaking permet de faire grimper une page dans les résultats de recherche avec du contenu dissimulé.
Voici à quoi votre site pourrait ressembler lors d’une recherche, suite à une attaque :
De votre côté, vous allez constater quelques dysfonctionnements mais pas forcément de changements au niveau de l’affichage des pages.
Dans 90% des cas, on observe :
- Des erreurs 500 aléatoires
- Des restrictions d’accès au back office
- Des restrictions d’accès au sous-menu du back office
- Blocage des mises à jour des extensions WordPress
Avertissement du navigateur suite à un piratage
Cependant, Google ne verra pas la même chose que vous, il verra des pages de publicités permettant la vente de produits comme par exemple, des pneus, des médicaments, de la crypto monnaie, vêtements de luxe etc … un contenu totalement différent du votre. Vous pouvez voir ce que Google voit en testant votre site dans un détecteur de cloaking.
Exemple de contenu dissimulé suite à une attaque par mots clés Japonais:
Le but premier du pirate est de référencer des produits par l’intermédiaire de votre site. Il enverra par la suite les nouvelles pages créées sur votre site à Google via l’intermédiaire d’un sitemap pour accélérer l’indexation. Une fois l’indexation des pages du sitemap lancée, vous allez observer un nombre considérable de pages dans les résultats de recherche. Dans certains cas, nous avons constaté l’indexation de 12 millions de pages en l’espace de 48 heures avec un total de plus de 7 millions de pages en attente d’indexation.
Les effets d’une attaque par mots clés japonais sur votre référencement naturel
Points clés :
- Perte de 68% du trafic organique (en provenance de Google)
- 856 mots clés positionnés au Japon
- Ajout de données structurées dans les résultats de recherche (étoile de vote)
Si vous avez repéré et nettoyé le serveur du piratage par mots clés japonais, coréen ou chinois, vous risquez de voir des milliers de pages s’indexer malgré leur suppression. Le hack par mots clés Japonais génère tellement d’url, qu’elles se mettent en attente d’indexation et cela peut durer plusieurs semaines voir plusieurs mois avant de se débarrasser complètement des traces du piratage par mots clés Japonais.
Le piratage par cloaking est assez complexe à éradiquer, sans connaissance poussées en PHP, l’appel d’un professionnel en sécurisation de site web sera à prioriser avant que Google vous pénalise via ses algorithmes et fasse disparaître votre site pour la dangerosité qu’il représente.
Pourquoi un hacker a t-il dissimulé du contenu sur votre site ?
Dans la majorité des hack par mots clés Japonais, le contenu dissimulé est une boutique avec de nombreux produits. Sur tous les produits générés, pages, articles, seront placés des liens qui eux, pointeront vers un autre site, ce qui boostera le référencement naturel du site ciblé.
Le pirate utilise la dissimulation de contenu dans le but d’être discret, son but est d’éviter que vous vous en rendiez compte, ce qui permettra de laisser du temps aux sitemaps envoyés, de s’indexer dans les résultats de recherche.
Comment fonctionne le hack par cloaking ?
Le cloaking est une technique utilisée par certains webmasters (Black Hat SEO) pour améliorer leur classement dans les résultats de recherche. Le but est de présenter un contenu différent à Google, que celui présenté aux utilisateurs humains.
Le site possèdera donc des balises META réservés aux moteurs de recherche alors que le contenu affiché sur la page elle-même est optimisé pour les internautes. En théorie, cette technique permet de mieux cibler une audience et d’améliorer le positionnement d’un site dans les résultats de recherche. Certains utilisent cette technique pour de la vente par affiliation de façon à cacher certains liens aux différents moteurs de recherche.
Cependant, il est important de noter que le cloaking est considéré comme une pratique frauduleuse par les moteurs de recherche, et peut entraîner des sanctions sévères comme un “filtre” Google.Pour faire simple, vous avez 150 pages sur votre site et du jour au lendemain, vous n’en avez plus que 4 qui de plus, deviennent introuvables dans les résultats de recherche.
Comment éviter un piratage par mots clés Japonais (cloaking) ?
Le meilleur conseil est de mettre à jour son site régulièrement, dans le cas ou vous utiliseriez un CMS type WordPress, il est préférable de maintenir à jour les extensions le plus souvent possible ainsi que la version PHP utilisée pour votre serveur, votre version de WordPress ainsi que la version de votre thème.
Les mises à jour WordPress permettent d’apporter de nouvelles options mais aussi de corriger des failles de vulnérabilités. Il est donc important garder son site à jour pour éviter de subir une attaque exploitant une des failles de vulnérabilité de site web.
Bonnes pratiques à suivre :
| Pratique de sécurité | Description | Bénéfices | Considérations importantes |
|---|---|---|---|
| Authentification robuste | Utilisation de mots de passe solides pour le FTP, la DB, et l’interface admin. | Protection contre les accès non autorisés | Éviter les mots de passe par défaut ou triviaux. Utiliser des gestionnaires de mots de passe. |
| Contrôle d’accès renforcé | Limite stricte sur les tentatives de connexion pour prévenir les attaques par brute force. | Réduction des risques d’intrusion | Configurer des verrouillages de compte et des alertes après plusieurs tentatives échouées. |
| Audit constant | Monitoring avancé pour détecter anomalies, maliciels ou comportements suspects. | Détection rapide des menaces | Choisir des outils d’audit fiables et les configurer pour des rapports réguliers. |
| Connexions chiffrées | Utilisation systématique du protocole HTTPS pour les échanges de données. | Intégrité et confidentialité des données | S’assurer que toutes les communications sont systématiquement chiffrées. |
| Gestion des droits | Révision périodique des ACLs pour contrôler l’accès aux ressources. | Minimisation des modifications non autorisées | Examiner régulièrement les droits d’accès et les mettre à jour si nécessaire. |
| Stratégie de sauvegarde | Backups réguliers, versionnés, stockés en cloud et hors-ligne. | Sauvegarde et récupération de données | Tester régulièrement la récupération de données à partir des sauvegardes. |
| Validation des plugins | Revue du code des plugins avant déploiement pour s’assurer de leur sécurité. | Prévention des failles de sécurité | Valider la source et l’absence de failles connues des plugins. |
| Veille technologique | Intégration des dernières méthodologies et outils en cybersécurité. | Maintien de la sécurité au niveau actuel | Rester informé sur les évolutions et les meilleures pratiques du secteur. |
Comment réparer le piratage par mots clés Japonais?
La première chose à faire et avant tout de lancer une sauvegarde de votre serveur FTP ainsi que de votre base de données. C’est la base avant toute manipulation !
La deuxième chose à faire est de supprimer les fichiers de code malveillants car c’est le code injecté dans vos fichiers qui permet de générer les urls avec mots clés Japonais et tout le contenu dissimulé.
Cependant, il faut être certains de ne rien laisser car le pirate cache généralement un shell permettant de prendre le contrôle du serveur et donc de renvoyer les fichiers supprimés par vos soins pour relancer le piratage par mots clés Japonais. Il est important de savoir que dans la majorité des cas, les attaques sont automatisées et ciblent des failles connues et les exploitent sans intervention humaine.
Sachant que Google détecte assez aisément les manipulations (contenu dissimulé) il est préférable de faire appel à un professionnel pour être certains que ça ne revienne plus et de ne pas recevoir une pénalité.
Il faut bien comprendre que l’algorithme Google est un robot, il pourrait parfaitement penser que vous ne subissez pas un piratage mais que vous essayez de tromper l’algorithme de positionnement pour gagner quelques positions sur certains mots clés.
Donc prudence, il est bien plus complexe de lever une pénalité SEO qu’une pénalité manuelle pour “site dangereux”.
Les conséquences du piratage par mots clés Japonais sont diverses:
- Perte de trafic organique au niveau national (suite aux modifications des balises META title / description)
- Hausse de trafic importante en provenance d’Asie (suite aux modifications des balises META title / description)
- Affichage d’une page indiquant que votre site est dangereux
- Augmentation considérable du taux d’impression dans la Search Console Google
- Augmentation considérable du taux de clic
- Augmentation du taux de rebond
- Pénalité Google
- Désindexation complète de votre site avec perte de 100% de votre référencement
- Perte de police d’écriture
- Perte de l’accès au back office ou des sous menus de votre administration
- Injection de code dans des fichiers sensibles
- Modification des permissions d’écriture / lecture
Quels outils pour réparer le piratage par mots clés japonais ?
Dans le cas ou vous utiliseriez un CMS comme WordPress, je vous déconseille de vous baser sur les résultats d’un scanner de vulnérabilités, en effet, ils ne sont pas capable de détecter la totalité du code malveillant.
Il est possible d’observer des redirection via différentes fonctions Javascript qui ne sont, de base, pas considérées comme du code malveillant, ce qui rend la tâche assez complexe car il est humainement impossible de chercher manuellement un bout de code dans des milliers de fichiers contenant parfois plus d’une dizaine de milliers de lignes de code.
Les recherches doivent être précises et cibler des fonctions PHP souvent utilisées dans des piratages par cloaking.
Qui contacter pour réparer un piratage par mots clés Japonais ?
Lorsque nous intervenons, nous proposons la désinfection ainsi que la sécurisation de votre site web qui est indispensable car vous le savez, tout ce qui est populaire est une cible potentielle. WordPress étant le CMS le plus utilisé, il est donc normal qu’il soit régulièrement la cible d’attaques en tout genre. Nous supprimons par la même occasion les actions manuelles Google liées au hack pour un maximum de résultat en un minimum de temps.
En cas de réinfection post intervention dans un délai de 6 mois, nous intervenons gratuitement. De plus, nous intervenons rapidement, généralement, nous corrigeons les piratage par mots clés Japonais en moins de 24 heures, qu’il y ait une pénalité manuelle de Google ou non.
Exemple de logs serveur avec les traces de manipulation
Ce que l’on voit en surbrillance est un chemin que le pirate a utilisé pour relancer le piratage et l’injection de fichiers malveillants. Dans ce répertoire “et-cache/1576”, se trouvait un fichier indétectable par les scanners. En suivant le même chemin que le pirate, voici ce qui a été trouvé :
C’est ce que l’on appelle un “Shell”, ou encore, une porte dérobée, elle permet de prendre le contrôle du serveur et de le conserver même en cas de modification des accès. C’est redoutable ! généralement, le pirate injecte un shell quelques semaines avant de lancer le véritable piratage. La raison est simple, dans la majorité des cas, les hébergeurs permettent de restaurer une sauvegarde antérieure de 2 semaines. En laissant le Shell 3 semaines / 1 mois, le pirate sait que même avec une restauration, il reprendra le contrôle.
Quelles sont les conséquences d’un tel piratage ?
Dans le cas ou votre site a été nettoyé rapidement, Google oubliera cette histoire et repositionnera votre site aux places qu’il détenait avant le piratage, c’est pour cette raison qu’il est important de ne pas se lancer seul.
Car malgré la désinfection du serveur FTP, il est fort possible que l’on puisse retrouver des injections de code en base de données, il faut être certains de ce que l’on modifie / supprime pour ne pas casser le site plus qu’il ne l’est.
Imaginons que vous fassiez une erreur, cela demanderait une restauration de votre base de données, si sur ce laps de temps, un client a passé commande sur votre site, cette commande ainsi que l’utilisateur serait donc supprimé de votre base de données, effaçant alors toute trace d’achat.
Supprimer les urls suite à un piratage par mots clés Japonais ?
Lors de nos interventions, nous utilisons une méthode de désindexation spécifique et peu connue qui permet d’accélérer le processus de prise en compte des urls par l’algorithme Google. Cela permet d’accélérer la désindexation avec un gain d’environ 60% de rapidité sur la prise en compte de la demande par les robots d’indexation.
Sinon, il n’y a pas de solution magique, différentes possibilités restent intéressantes comme la mise en place de redirections 301 permettant de diminuer le Taux de rebond (attention, cela implique une désindexation des urls, plus longue) ou encore les redirections 410, qui permettent d’indiquer à Google que les urls sont à supprimer définitivement.
Surtout, ne pas utiliser les outils de suppression proposés dans la Search Console car la aussi, une fausse manipulation et votre site disparaît complètement de Google en une dizaine de minutes pour un délai de 6 mois donc prudence.
De plus, l’outil de suppression d’url dans la search console fonctionne sur la base de préfixe , hors, le piratage par mots clés Japonais est fait de sorte qu’il n’y a aucune similitude entre les différentes urls, il n’est donc pas possible de les supprimer en masse et/ou d’ajouter des restrictions d’indexation dans votre fichier robots.txt.
Il est aussi possible de faire une suppression de la version d’une url en cache Google. Google Enregistre les pages qu’il visite, vous pouvez voir ce que Google enregistre en tapant:
cache:votresite.com
Cette méthode poussera GoogleBot a repasser sur l’url de façon à enregistrer les nouvelles modifications (suite au nettoyage).
La sécurité en ligne est cruciale pour maintenir la crédibilité et le bon fonctionnement de tout site web. La vigilance et l’actualisation régulière des systèmes sont nos meilleures défenses contre les menaces telles que le “cloaking”. Si un problème est détecté, l’intervention rapide d’un expert est primordiale.
Ils nous ont fait confiance
FAQ
✅ Comment désinfecter / nettoyer / protéger mon site web ?
Il faut tout d'abord détecter la totalité des fichiers infectés qui se trouvent sur le serveur, il suffit d'en oublié un seul pour que tout recommence dans les heures / jours qui suivent. (Ils peuvent se dupliquer sur la totalité du serveur et parcourir les différents répertoires et ainsi toucher la totalité de vos sites)
✅ Si je supprime tous les fichiers, est-ce que mon site sera sécurisé ?
Non, la majorité des intrusions, injections sont en réalité, réalisées par des robots et non par des humains, il est donc nécessaire de trouver l'origine de la faille de vulnérabilité. Sans cela, ce n'est qu'une question de temps avant que le malware s'installe à nouveau sur votre serveur.
✅ Est-ce qu'un certificat SSL peut protéger mon site ?
Alors oui et non ! Il peut protéger votre site sur certains points, il protégera l'envoi de données par vos formulaires par exemple mais il n'empêchera pas une intrusion sur votre serveur, un certificat SSL ne vous protégera pas par exemple, d'une vulnérabilité XSS provenant d'un plugin faillible.
✅ Comment protéger mon site contre les pirates ?
Il est préférable de faire appel à un professionnel. Les analyses de vulnérabilités, la recherche de malware demande une maîtrise de plusieurs outils dont des scanners spécifiques. Cependant, il est fortement recommandé d'appliquer les bases comme par exemple la mise à jour de la version PHP de votre serveur, mise à jour de votre CMS, utiliser des mots de passe avec caractères spéciaux etc ...