Qu’est-ce que le piratage par mots clés Japonais et comment savoir si vous êtes touché ?
Votre site est affiché en japonais ou en chinois sur les moteurs de recherche ? Vous avez été piraté par une méthode de piratage nommée « cloaking » ou encore « Japanese Keyword Hack » . Cette méthode consiste à afficher un contenu différent pour les visiteurs et pour les moteurs de recherche.
Voici à quoi votre site pourrait ressembler lors d’une recherche, suite à une attaque :
De votre côté, vous allez constater quelques dysfonctionnements mais pas forcément de changements au niveau de l’affichage des pages.
Les dysfonctionnements suite à ce piratage
Dans 90% des cas, on observe :
- Des erreurs 500 aléatoires
- Des restrictions d’accès au back office
- Des restrictions d’accès au sous-menu du back office
- Blocage des mises à jour des extensions WordPress
Avertissement du navigateur suite à un piratage
Cependant, Google ne verra pas la même chose que vous, il verra des pages de publicités permettant la vente de produits comme par exemple, des pneus, des médicaments, de la crypto monnaie, vêtements de luxe etc … un contenu totalement différent du votre. Vous pouvez voir ce que Google voit en testant votre site dans un détecteur de cloaking (cloaking.fr).
Exemple de contenu dissimulé suite à une attaque :
Le but premier du pirate est de référencer des produits par l’intermédiaire de votre site. Il enverra par la suite les nouvelles pages créées sur votre site à Google via l’intermédiaire d’un sitemap pour accélérer l’indexation. Une fois l’indexation des pages du sitemap lancée, vous allez observer un nombre considérable de pages dans les résultats de recherche. Dans certains cas, nous avons constaté l’indexation de 12 millions de pages en l’espace de 48 heures avec un total de plus de 7 millions de pages en attente d’indexation.
Quel impact sur votre référencement naturel ?
Points clés :
- Perte de 68% du trafic organique (en provenance de Google)
- 856 mots clés positionnés au Japon
- Ajout de données structurées dans les résultats de recherche (étoile de vote)
Si vous avez repéré et nettoyé le serveur, vous risquez de voir des milliers de pages s’indexer malgré leur suppression. Ce hack génère tellement d’url, qu’elles se mettent en attente d’indexation et cela peut durer plusieurs semaines voir plusieurs mois avant de s’en débarrasser définitivement.
Vous avez un site à désinfecter ou à sécuriser ?
Pourquoi un hacker a t-il dissimulé du contenu sur votre site ?
Dans la majorité des cas, le contenu dissimulé est une boutique avec de nombreux produits. Sur tous les produits générés, pages, articles, seront placés des liens qui eux, pointeront vers un autre site, ce qui boostera le référencement naturel du site ciblé.
Le pirate utilise la dissimulation de contenu dans le but d’être discret, son but est d’éviter que vous vous en rendiez compte, ce qui permettra de laisser du temps aux sitemaps envoyés, de s’indexer dans les résultats de recherche.
Techniquement, comment fonctionne le cloaking ?
C’est une technique utilisée par certains webmasters (Black Hat SEO) pour améliorer leur classement dans les résultats de recherche. Le but est de présenter un contenu différent à Google, que celui présenté aux utilisateurs humains.
Le site possèdera donc des balises META réservés aux moteurs de recherche alors que le contenu affiché sur la page elle-même est optimisé pour les internautes. En théorie, cette technique permet de mieux cibler une audience et d’améliorer le positionnement d’un site dans les résultats de recherche. Certains l’utilisent pour de la vente par affiliation de façon à cacher certains liens aux différents moteurs de recherche.
Cependant, il est important de noter que le cloaking est considéré comme une pratique frauduleuse par les moteurs de recherche, et peut entraîner des sanctions sévères comme un « filtre » Google. Pour faire simple, vous avez 150 pages sur votre site et du jour au lendemain, vous n’en avez plus que 4 qui de plus, deviennent introuvables dans les résultats de recherche.
Comment éviter un piratage par mots clés Japonais ?
Le meilleur conseil est de mettre à jour son site régulièrement, dans le cas ou vous utiliseriez un CMS type WordPress, il est préférable de maintenir à jour les extensions le plus souvent possible ainsi que la version PHP utilisée pour votre serveur, votre version de WordPress ainsi que la version de votre thème.
Les mises à jour WordPress permettent d’apporter de nouvelles options mais aussi de corriger des failles de vulnérabilités. Il est donc important garder son site à jour pour éviter de subir une attaque exploitant une des failles de vulnérabilité de site web.
Bonnes pratiques à suivre :
Pratique de sécurité | Description | Bénéfices | Considérations importantes |
---|---|---|---|
Authentification robuste | Utilisation de mots de passe solides pour le FTP, la DB, et l’interface admin. | Protection contre les accès non autorisés | Éviter les mots de passe par défaut ou triviaux. Utiliser des gestionnaires de mots de passe. |
Contrôle d’accès renforcé | Limite stricte sur les tentatives de connexion pour prévenir les attaques par brute force. | Réduction des risques d’intrusion | Configurer des verrouillages de compte et des alertes après plusieurs tentatives échouées. |
Audit constant | Monitoring avancé pour détecter anomalies, maliciels ou comportements suspects. | Détection rapide des menaces | Choisir des outils d’audit fiables et les configurer pour des rapports réguliers. |
Connexions chiffrées | Utilisation systématique du protocole HTTPS pour les échanges de données. | Intégrité et confidentialité des données | S’assurer que toutes les communications sont systématiquement chiffrées. |
Gestion des droits | Révision périodique des ACLs pour contrôler l’accès aux ressources. | Minimisation des modifications non autorisées | Examiner régulièrement les droits d’accès et les mettre à jour si nécessaire. |
Stratégie de sauvegarde | Backups réguliers, versionnés, stockés en cloud et hors-ligne. | Sauvegarde et récupération de données | Tester régulièrement la récupération de données à partir des sauvegardes. |
Validation des plugins | Revue du code des plugins avant déploiement pour s’assurer de leur sécurité. | Prévention des failles de sécurité | Valider la source et l’absence de failles connues des plugins. |
Veille technologique | Intégration des dernières méthodologies et outils en cybersécurité. | Maintien de la sécurité au niveau actuel | Rester informé sur les évolutions et les meilleures pratiques du secteur. |
Comment réparer un site touché par ce hack ?
La première chose à faire et avant tout de lancer une sauvegarde de votre serveur FTP ainsi que de votre base de données. C’est la base avant toute manipulation !
La deuxième chose à faire est de supprimer les fichiers de code malveillants car c’est le code injecté dans vos fichiers qui permet de générer les urls avec mots clés Japonais et tout le contenu dissimulé.
Cependant, il faut être certains de ne rien laisser car le pirate cache généralement un shell permettant de prendre le contrôle du serveur et donc de renvoyer les fichiers supprimés par vos soins pour relancer le piratage par mots clés Japonais. Il est important de savoir que dans la majorité des cas, les attaques sont automatisées et ciblent des failles connues et les exploitent sans intervention humaine.
Sachant que Google détecte assez aisément les manipulations (contenu dissimulé) il est préférable de faire appel à un professionnel pour être certains que ça ne revienne plus et de ne pas recevoir une pénalité.
Il faut bien comprendre que l’algorithme Google est un robot, il pourrait parfaitement penser que vous ne subissez pas un piratage mais que vous essayez de tromper l’algorithme de positionnement pour gagner quelques positions sur certains mots clés.
Donc prudence, il est bien plus complexe de lever une pénalité SEO qu’une pénalité manuelle pour « site dangereux ».
Les conséquences sur le SEO:
- Perte de trafic organique au niveau national (suite aux modifications des balises META title / description)
- Hausse de trafic importante en provenance d’Asie (suite aux modifications des balises META title / description)
- Affichage d’une page indiquant que votre site est dangereux
- Augmentation considérable du taux d’impression dans la Search Console Google
- Augmentation considérable du taux de clic
- Augmentation du taux de rebond
- Pénalité Google
- Désindexation complète de votre site avec perte de 100% de votre référencement
- Perte de police d’écriture
- Perte de l’accès au back office ou des sous menus de votre administration
- Injection de code dans des fichiers sensibles
- Modification des permissions d’écriture / lecture
Quels outils pour réparer le piratage par mots clés japonais ?
Dans le cas ou vous utiliseriez un CMS comme WordPress, je vous déconseille de vous baser sur les résultats d’un scanner de vulnérabilités, en effet, ils ne sont pas capable de détecter la totalité du code malveillant.
Il est possible d’observer des redirection via différentes fonctions Javascript qui ne sont, de base, pas considérées comme du code malveillantes, ce qui rend la tâche assez complexe car il est humainement impossible de chercher manuellement un bout de code dans des milliers de fichiers contenant parfois plus d’une dizaine de milliers de lignes de code.
Les recherches doivent être précises et cibler des fonctions PHP souvent utilisées dans des piratages par cloaking.
L’analyse des logs serveur à la recherche de traces suspectes
Ce que l’on voit en surbrillance est un chemin que le pirate a utilisé pour relancer le piratage et l’injection de fichiers malveillants. Dans ce répertoire « et-cache/1576 », se trouvait un fichier indétectable par les scanners. En suivant le même chemin que le pirate, voici ce qui a été trouvé :
C’est ce que l’on appelle un « Shell », ou encore, une porte dérobée, elle permet de prendre le contrôle du serveur et de le conserver même en cas de modification des accès. C’est redoutable ! généralement, le pirate injecte un shell quelques semaines avant de lancer le véritable piratage. La raison est simple, dans la majorité des cas, les hébergeurs permettent de restaurer une sauvegarde antérieure de 2 semaines. En laissant le Shell 3 semaines / 1 mois, le pirate sait que même avec une restauration, il reprendra le contrôle.
Comment supprimer les milliers d’urls générées ?
Il n’y a pas de solution magique, différentes possibilités restent intéressantes comme la mise en place de redirections 301 permettant de diminuer le Taux de rebond (attention, cela implique une désindexation des urls plus longue) ou encore les redirections 410, qui permettent d’indiquer à Google que les urls sont à supprimer définitivement.
L’outils de suppression d’url de la Search console peut aussi peut être une alternative dans le cas ou les urls générées possèderaient un préfixe similaire.
Il est aussi possible de faire une suppression de la version d’une url en cache Google. Google Enregistre les pages qu’il visite, vous pouvez voir ce que Google enregistre en tapant:
cache:votresite.com
Cette méthode poussera GoogleBot a repasser sur l’url de façon à enregistrer les nouvelles modifications (suite au nettoyage).
Ils nous ont fait confiance
FAQ
✅ Comment désinfecter / nettoyer / protéger mon site web ?
Il faut tout d'abord détecter la totalité des fichiers infectés qui se trouvent sur le serveur, il suffit d'en oublié un seul pour que tout recommence dans les heures / jours qui suivent. (Ils peuvent se dupliquer sur la totalité du serveur et parcourir les différents répertoires et ainsi toucher la totalité de vos sites)
✅ Si je supprime tous les fichiers, est-ce que mon site sera sécurisé ?
Non, la majorité des intrusions, injections sont en réalité, réalisées par des robots et non par des humains, il est donc nécessaire de trouver l'origine de la faille de vulnérabilité. Sans cela, ce n'est qu'une question de temps avant que le malware s'installe à nouveau sur votre serveur.
✅ Est-ce qu'un certificat SSL peut protéger mon site ?
Alors oui et non ! Il peut protéger votre site sur certains points, il protégera l'envoi de données par vos formulaires par exemple mais il n'empêchera pas une intrusion sur votre serveur, un certificat SSL ne vous protégera pas par exemple, d'une vulnérabilité XSS provenant d'un plugin faillible.
✅ Comment protéger mon site contre les pirates ?
Il est préférable de faire appel à un professionnel. Les analyses de vulnérabilités, la recherche de malware demande une maîtrise de plusieurs outils dont des scanners spécifiques. Cependant, il est fortement recommandé d'appliquer les bases comme par exemple la mise à jour de la version PHP de votre serveur, mise à jour de votre CMS, utiliser des mots de passe avec caractères spéciaux etc ...