Blocage du piratage par mots clés pour le japonais

Ce guide concerne un type de piratage qui crée du texte japonais généré automatiquement sur votre site, que nous appelons le piratage par mots clés japonais. Il est destiné aux utilisateurs de systèmes de gestion de contenu (CMS) populaires, mais il vous sera utile même si votre site n'en utilise pas.

Identifier ce type de piratage

Le piratage par mots clés japonais consiste généralement à créer des pages contenant du texte japonais généré automatiquement sur votre site dans des noms d'annuaire générés de manière aléatoire (par exemple, http://example.com/ltjmnjp/341.html). Ces pages sont monétisées à l'aide de liens affiliés à des boutiques qui vendent des produits contrefaits, puis sont affichées dans la recherche Google. Voici un exemple de l'une de ces pages :

Exemple de page piratée avec des mots clés japonais.
Une page de texte générée par le piratage par mots clés japonais.

Avec ce type de piratage, le pirate informatique s'ajoute généralement en tant que propriétaire de la propriété dans la Search Console afin d'augmenter ses profits en manipulant les paramètres de votre site, tels que le ciblage géographique ou les sitemaps. Si vous avez reçu une notification indiquant qu'une personne que vous ne connaissez pas a validé votre site dans Google Search Console, il est fort probable que votre site ait été piraté.

Commencez par consulter l'outil Problèmes de sécurité dans la Search Console pour voir si Google a détecté des pages piratées sur votre site. Vous pouvez parfois découvrir des pages de ce type en ouvrant une fenêtre de recherche Google et en saisissant site:_your site url_, avec l'URL de niveau racine de votre site. Vous verrez alors les pages que Google a indexées pour votre site, y compris les pages piratées. Parcourez quelques pages de résultats de recherche pour voir si vous repérez des URL inhabituelles. Si vous ne voyez aucun contenu piraté dans la recherche Google, utilisez les mêmes termes de recherche avec un autre moteur de recherche. Voici un exemple de ce à quoi cela pourrait ressembler :

Exemple de site piraté dans la recherche
Les pages piratées s'affichent dans les résultats de recherche Google.

En règle générale, lorsque vous cliquez sur un lien vers une page piratée, vous êtes redirigé vers un autre site ou vous voyez une page remplie de contenu vide de sens. Toutefois, vous pouvez également voir un message suggérant que la page n'existe pas (par exemple, une erreur 404). Ne vous laissez pas tromper. Les pirates informatiques essaieront de vous faire croire que la page a disparu ou a été corrigée alors qu'elle est toujours piratée. Pour ce faire, ils masquent le contenu. Vérifiez si le contenu est masqué en saisissant les URL de votre site dans l' outil d'inspection d'URL. Cet outil vous permet de voir le contenu sous-jacent masqué.

Si vous constatez ces problèmes, votre site a probablement été affecté par ce type de piratage.

Corriger le piratage

Avant de commencer, créez une copie hors connexion de tous les fichiers avant de les supprimer, au cas où vous auriez besoin de les restaurer ultérieurement. Mieux encore, sauvegardez l'intégralité de votre site avant de commencer le processus de nettoyage. Pour ce faire, enregistrez tous les fichiers présents sur votre serveur dans un emplacement en dehors de votre serveur ou recherchez les meilleures options de sauvegarde pour votre système de gestion de contenu (CMS). Si vous utilisez un CMS, sauvegardez également la base de données.

Supprimer les comptes nouvellement créés de la Search Console

Si un nouveau propriétaire que vous ne reconnaissez pas a été ajouté à votre compte Search Console, révoquez son accès dès que possible. Vous pouvez vérifier quels utilisateurs sont validés pour votre site sur la page de validation de la Search Console. Cliquez sur "Détails de la validation" pour le site afin d'afficher tous les utilisateurs validés.

Pour supprimer un propriétaire de la Search Console, consultez la section Supprimer un propriétaire du centre d'aide Gérer les utilisateurs, les propriétaires et les autorisations. Vous devrez supprimer le jeton de validation associé, qui est généralement un fichier HTML à la racine de votre site ou un fichier .htaccess généré dynamiquement imitant un fichier HTML.

Si vous ne trouvez pas de jeton de validation HTML sur votre site, recherchez une règle de réécriture dans votre fichier .htaccess. La règle de réécriture se présentera comme suit :

RewriteEngine On
RewriteRule ^google(.*)\.html$ dir/file.php?google=$1 [L]

Pour supprimer le jeton de validation généré dynamiquement de votre fichier .htaccess, procédez comme suit :

Vérifier votre fichier .htaccess (deux étapes)

Outre l'utilisation d'un fichier .htaccess pour créer des jetons de validation générés dynamiquement, les pirates informatiques utilisent souvent des règles .htaccess pour rediriger les utilisateurs ou créer des pages de spam sans signification. Sauf si vous avez des règles .htaccess personnalisées, envisagez de remplacer votre fichier .htaccess par une copie entièrement nouvelle.

Étape 1

Recherchez votre fichier .htaccess sur votre site. Si vous ne savez pas où le trouver et que vous utilisez un CMS tel que WordPress, Joomla ou Drupal, recherchez "emplacement du fichier .htaccess" dans un moteur de recherche, ainsi que le nom de votre CMS. Selon votre site, vous pouvez voir plusieurs fichiers .htaccess. Dressez la liste de tous les emplacements des fichiers .htaccess.

Étape 2

Remplacez tous les fichiers .htaccess par une version propre ou par défaut du fichier .htaccess. Vous pouvez généralement trouver une version par défaut d'un fichier .htaccess en recherchant "fichier .htaccess par défaut" et le nom de votre CMS. Pour les sites comportant plusieurs fichiers .htaccess, recherchez une version propre de chacun d'eux et remplacez-les.

Si aucun fichier .htaccess par défaut n'existe et que vous n'avez jamais configuré de fichier .htaccess sur votre site, le fichier .htaccess que vous trouvez sur votre site est probablement malveillant. Enregistrez une copie du ou des fichiers .htaccess hors connexion au cas où, puis supprimez le fichier .htaccess de votre site.

Supprimer tous les scripts et les fichiers malveillants (quatre étapes)

Identifier les fichiers malveillants peut être difficile et chronophage. Prenez votre temps lorsque vous vérifiez vos fichiers. Si ce n'est pas déjà fait, c'est le bon moment pour sauvegarder les fichiers de votre site. Effectuez une recherche Google en saisissant "sauvegarder le site" et le nom de votre CMS pour trouver des instructions sur la sauvegarde de votre site.

Étape 1

Si vous utilisez un CMS, réinstallez tous les fichiers principaux (par défaut) fournis dans la distribution par défaut de votre CMS, ainsi que tout ce que vous avez ajouté (thèmes, modules ou plug-ins, par exemple). Cela permet de s'assurer que ces fichiers ne contiennent pas de contenu piraté. Vous pouvez effectuer une recherche Google en saisissant "réinstaller" et le nom de votre CMS pour trouver des instructions de réinstallation. Si vous avez des plug-ins, des modules, des extensions ou des thèmes, veillez à les réinstaller également.

Étape 2

Les pirates informatiques modifient souvent votre sitemap ou ajoutent de nouveaux sitemaps pour que leurs URL soient indexées plus rapidement. Si vous aviez auparavant un fichier sitemap, recherchez-y des liens suspects et supprimez-les. S'il existe des fichiers sitemap que vous ne vous souvenez pas avoir ajoutés à votre site, examinez-les. Supprimez le fichier s'il ne contient que des URL de spam.

Étape 3

Recherchez d'autres fichiers malveillants ou compromis. Vous avez peut-être déjà supprimé tous les fichiers malveillants lors des deux étapes précédentes, mais il est préférable de suivre les quelques étapes suivantes au cas où d'autres fichiers de votre site auraient été compromis.

Ne vous laissez pas submerger par l'idée que vous devez ouvrir et examiner chaque fichier PHP. Commencez par créer une liste de fichiers PHP suspects que vous souhaitez examiner. Voici quelques façons de déterminer quels fichiers PHP sont suspects :

  • Si vous avez déjà rechargé vos fichiers CMS, examinez uniquement les fichiers qui ne font pas partie de vos fichiers ou dossiers CMS par défaut. Cela devrait éliminer de nombreux fichiers PHP et vous laisser quelques fichiers à examiner.
  • Triez les fichiers de votre site en fonction de leur date de dernière modification. Recherchez les fichiers qui ont été modifiés dans les quelques mois suivant le moment où vous avez découvert que votre site avait été piraté.
  • Triez les fichiers de votre site par taille. Recherchez les fichiers exceptionnellement volumineux.

Étape 4

Une fois que vous avez une liste de fichiers PHP suspects, vérifiez s'ils contiennent du contenu malveillant. Si vous n'êtes pas familiarisé avec PHP, ce processus peut prendre plus de temps, envisagez donc de consulter de la documentation PHP. Si vous débutez complètement dans le codage, nous vous recommandons de vous adresser à un développeur expérimenté. En attendant, vous pouvez rechercher certains schémas de base pour identifier les fichiers malveillants.

Si vous utilisez un CMS et que vous n'avez pas l'habitude de modifier directement ses fichiers PHP, comparez les fichiers de votre serveur à une liste des fichiers par défaut fournis avec le CMS, ainsi que tous les plug-ins et thèmes. Recherchez les fichiers qui ne sont pas à leur place, ainsi que les fichiers dont la taille est supérieure à celle de leur version par défaut.

Parcourez les fichiers suspects que vous avez déjà identifiés pour rechercher des blocs de code obscurci. Cela peut ressembler à une combinaison de lettres et de chiffres apparemment mélangés, généralement précédée d'une combinaison de fonctions PHP telles que base64_decode, rot13, eval, strrev ou gzinflate. Voici un exemple de ce à quoi le bloc de code peut ressembler. Parfois, tout ce code est regroupé sur une longue ligne de texte, ce qui le fait paraître plus petit qu'il ne l'est en réalité.

$O_O0O_O0_0=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70
%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$OO0_0OO0__=$O_O0O_O0_0{26}.$O_O0O_O0_0{6}.$O_O0O_O0_0{10}.$O_O0O_O0_0{30}

Vérifier si votre site est propre

Une fois que vous avez supprimé les fichiers piratés, vérifiez si vos efforts ont porté leurs fruits. Vous vous souvenez de ces pages sans signification que vous avez identifiées précédemment ? Utilisez à nouveau l'outil Explorer comme Google sur ces pages pour voir si elles existent toujours.

Si elles répondent "Non trouvé" dans Explorer comme Google, vous êtes probablement en bonne voie et vous pouvez passer à la correction des failles de sécurité de votre site.

Comment ne plus être piraté ?

La correction des failles de sécurité de votre site est une étape finale essentielle pour le réparer. Une étude récente a révélé que 20% des sites piratés sont piratés à nouveau dans la journée. Il est très utile de savoir exactement comment votre site a été piraté. Consultez notre guide sur les principales méthodes de piratage des sites Web par les spammeurs pour commencer votre enquête. Si vous ne parvenez pas à déterminer comment votre site a été piraté, suivez cette checklist pour réduire les failles de sécurité de votre site.

  • Analysez régulièrement votre ordinateur : utilisez un logiciel antivirus populaire pour rechercher les virus ou les failles de sécurité.
  • Modifiez régulièrement vos mots de passe : la modification régulière des mots de passe de tous vos comptes de site Web, tels que votre fournisseur d'hébergement, votre FTP et votre CMS, peut empêcher tout accès non autorisé à votre site. Il est important de créer un mot de passe unique et complexe pour chaque compte.
  • Utilisez l'authentification à deux facteurs (A2F) : Envisagez d'activer l'A2F pour tout service nécessitant une connexion. Cela rend la connexion plus difficile pour les pirates informatiques, même s'ils parviennent à voler votre mot de passe.
  • Mettez à jour régulièrement votre CMS, vos plug-ins, vos extensions et vos modules: nous espérons que vous avez déjà effectué cette étape. De nombreux sites sont piratés, car ils exécutent des logiciels obsolètes. Certains CMS acceptent la mise à jour automatique.
  • Envisagez de vous abonner à un service de sécurité pour surveiller votre site: de nombreux services sont disponibles pour vous aider à surveiller votre site moyennant un petit supplément. Pensez à vous enregistrer auprès de ces services afin de protéger votre site.

Ressources supplémentaires

Si vous rencontrez toujours des difficultés pour réparer votre site, voici quelques ressources supplémentaires qui pourraient vous aider.

Ces outils analysent votre site et sont en mesure de détecter des contenus problématiques. Hormis VirusTotal, nous ne gérons aucun de ces outils et nous n'en sommes pas non plus responsables.

Ce ne sont là que quelques outils qui peuvent analyser votre site pour détecter les contenus problématiques. N'oubliez pas que ces scanners ne peuvent pas garantir qu'ils identifieront tous les types de contenus problématiques.

Les ressources supplémentaires Google suivantes pourront vous aider :