Piratage par mots clés Japonais : site Wordpress en Japonais sur Google

Comment vérifier que mon site a bien été piraté ?

Vous avez peut-être remarqué que l’affichage de votre site sur les moteurs de recherche avait changé. Cette situation est souvent due au piratage par mots clés japonais, qui vise à manipuler les balises meta description et titre de vos pages et à créer des milliers de pages supplémentaires avec du contenu caché (cloaké).

Pour voir la totalité de vos urls sur Google, vous pouvez utiliser la commande « site:votredomaine.fr » su Google. Cela devrait afficher uniquement les pages / articles / produits de votre site dans les résultats de recherche. Si vos résultats ressemble à la capture d’écran ci-dessous, c’est une certitude, votre site a bien été piraté.

De plus, comme on peut le constater, des étoiles de votes (contenu enrichi ou aussi appelé « rich snippet ») apparaissent subitement dans les résultats de recherche Google, Yahoo, Bing etc … C’est lié au contenu dissimulé, dans lequel se trouve un bout de code permettant cet affichage :

Vous avez reçu une alerte dans la Search Console Google

Dans certains cas, lorsque le piratage par mots clés Japonais est installé depuis plusieurs semaines / mois, Google peut vous sanctionner manuellement.  Pour vérifier cela, rendez vous dans votre Search Console puis dans l’onglet « Sécurité et actions manuelles » -> « Actions manuelles ».

Alerte en cas de site piraté :

Message lorsque votre site est sécurisé :

En cas de site piraté, vous devez lancer la demande de réexamen de votre site uniquement si vous êtes certains d’avoir ciblé et comblé la vulnérabilité.

Si vous soumettez votre site à plusieurs reprises et qu’il reste des fichiers malveillants, vous pourriez perdre vos positions dans les résultats de recherche et votre visibilité pour une longue durée.

Votre site est en maintenance forcée

Il est possible que votre site soit accessible, mais avec une page de maintenance que vous pouvez supprimer à la condition de désinfecter et sécuriser votre site.
Généralement, si cela provient de l’hébergeur, vous devriez avoir reçu un mail avec diverses indications permettant de remettre votre site en ligne. Il est souvent question de fichiers malveillants, de requêtes externes en masse (saturant le serveur). Donc pensez à vérifier vos tickets de Support chez votre hébergeur.

Alerte de Netcraft concernant les sites trompeurs

Outre Google, d’autres acteurs sont en alerte concernant les comportements douteux sur le web. Parmi eux, Netcraft, reconnu pour son expertise en matière de sécurité en ligne.

Lorsque ce dernier identifie un site comme étant trompeur ou ayant une activité malintentionnée, il peut en recommander la suspension, voire sa fermeture, pour préserver la sécurité des internautes. D’où l’importance de ne pas seulement se focaliser sur les alertes de Google, mais de considérer tous les avertissements liés à la sécurité de votre site web.

Utiliser un détecteur de contenu dissimulé

Il existe certains outils en ligne permettant de simuler Google Bot. En effet, lors d’un piratage par mots clés Japonais (ou Japanese Keyword Hack), vos visiteurs ne voient pas la même chose que Google lorsqu’ils visitent votre site car le but de ce piratage est de se faire le plus discret possible de sorte que le pirate puisse indexer un maximum d’url sur Google.

Pour voir ce que Google voit lorsqu’il visite vos pages, vous pouvez utiliser cloaking.fr qui met à disposition un formulaire dans lequel vous n’avez qu’à entre l’url de votre site et patienter une petite minute pour voir le résultat.

Autres symptômes du piratage par mots clés Japonais

Il est aussi possible de voir certaines modifications inattendues sur votre site : des articles que vous n’avez jamais écrits, des publicités inconnues, des modifications de contenu sur les pages existantes ou même des changements de thème.

Des redirections inattendues

Lorsque vous ou vos utilisateurs accédez à votre site, vous êtes soudainement redirigés vers un autre site, souvent lié à la publicité, au phishing ou à des contenus malveillants. C’est un symptôme courant d’un site piraté.

Les redirections malveillantes les plus répandues

• steadycaptcha
• cartoonmines
• freevar
• shbzek

Page de destination des redirections malveillantes :

Performance et temps de chargement beaucoup plus lents

Un ralentissement soudain et inexplicable de la performance de votre site peut être un indicateur de piratage. Les pirates peuvent utiliser des ressources de votre serveur pour mener des attaques.

De plus, le contenu étant dissimulé, votre site va commencer à se positionner sur des mots clés dans divers pays asiatiques et donc attirer de nombreux visiteurs, ce qui peut être un élément déclencheur d’une lenteur anormale.

Gain de trafic au Japon 48 heures après une attaque par mots clés Japonais

Messages d’avertissement de navigateurs

Les navigateurs tels que Chrome ou Firefox peuvent afficher des avertissements lorsqu’un site a été signalé comme malveillant / trompeur. Ces messages d’avertissement indiquent généralement que le site peut contenir des logiciels malveillants ou tenter de voler des informations, ce qui n’est pas rassurant pour vos visiteurs.

Exemple d’avertissement

Analysez vos logs serveur pour détecter des activités anormales

Tout hébergeur digne de ce nom propose un suivi des actions menées au sein de votre serveur sous forme de journaux d’activité. Ces logs permettent de repérer des comportements suspects comme des tentatives d’injections SQL, d’exploitation de failles XSS etc …

Exemple de logs suspects

[DATE] [TIME] [IP ADDRESS] - Successful login: admin
[DATE] [TIME] [IP ADDRESS] - New file added: /wp-content/uploads/2023/08/japanese-keywords.php
[DATE] [TIME] [IP ADDRESS] - Post modified: "Your article title here"
[DATE] [TIME] [IP ADDRESS] - New page created: /product-list/カメラ-販売.html
[DATE] [TIME] [IP ADDRESS] - 404 Error: /wp-content/uploads/2023/08/japanese-keywords.php

Dans cet exemple, vous remarquerez que suite à une connexion réussie sous le nom d’administrateur, un fichier avec un nom suspect est ajouté. Ensuite, un article est modifié, suivi de la création d’une page contenant des mots clés japonais dans l’URL. La mention d’une erreur 404 signifie que quelqu’un a tenté d’accéder au fichier précédemment mentionné, mais que ce dernier n’était pas encore disponible à ce moment-là.

Pourquoi le pirate dissimule du contenu sur les sites qu’ils piratent ?

Lorsqu’un pirate s’infiltre sur un site, son principal objectif est souvent de maximiser ses gains sans éveiller les soupçons. Dissimuler du contenu est une stratégie (très) répandue, en particulier dans le cadre du piratage par mots clés japonais.

Le raisonnement derrière cette tactique est simple : en masquant leurs actions, ils peuvent opérer en toute discrétion pendant une période prolongée. Cela leur permet d’indexer un grand nombre d’URL sur Google, en vue d’améliorer leur référencement ou celui d’un autre site, grâce à l’ajout de backlinks cachés.

En plus de cet avantage SEO, ils peuvent également afficher des publicités ou des redirections, générant ainsi des revenus supplémentaires. C’est seulement en creusant un peu que les anomalies apparaissent, d’où l’importance d’être vigilant et d’utiliser les bons outils pour déceler toute modification suspecte.

Quels sont les risques du piratage par mots clés japonais

Détérioration de votre SEO : La première conséquence directe de ce type d’attaque est la détérioration rapide de votre référencement naturel (SEO). Les pirates ajoutent des milliers de pages avec du contenu caché sur votre site, modifiant les balises meta des pages existantes. Résultat : le contenu original de votre site est noyé parmi des liens et des mots-clés en japonais, ce qui perturbe les moteurs de recherche et peut entraîner une perte de visibilité ou même une pénalisation de part le changement radical de thématique et de langue.

Perte de confiance des visiteurs : Imaginez la surprise et la confusion de vos visiteurs qui accèdent à votre site et tombent sur une page remplie de caractères japonais ou des publicités pour des produits totalement non liés à votre activité. Cette situation peut rapidement nuire à la réputation de votre site et dissuader les utilisateurs de revenir acheter vos produits.

Potentielle violation des données : Si un pirate est capable d’insérer du contenu sur votre site, cela signifie qu’il a accès à des données sensibles comme les informations de vos clients (adresse, mail, téléphone), vos accès à la base de données et donc à vos autres sites si vous n’avez pas cloisonné vos différentes installations etc …

Frais supplémentaires : Face à une cyberattaque, il est fortement conseillé de faire appel à un professionnel qui vous apportera une certaine garantie quant à l’intervention de désinfection et sécurisation de votre site. Une réinfection pourrait être dramatique pour votre référencement naturel.

Suspensions et sanctions : Comme mentionné précédemment, des organismes comme Google ou Netcraft peuvent détecter le piratage et suspendre votre site pour protéger les utilisateurs. Une telle suspension peut non seulement affecter votre SEO, mais aussi votre crédibilité auprès de vos clients potentiels.

7 bonnes pratiques pour éviter les risques de piratage par mots clés Japonais ou par redirections

1. Mises à jour régulières :
Assurez-vous que votre core WordPress, vos thèmes et vos plugins sont toujours à jour. Les développeurs corrigent régulièrement les vulnérabilités, et ne pas mettre à jour votre site revient à laisser une porte ouverte aux pirates.

2. Utilisation de thèmes et plugins fiables :
Optez pour des thèmes et plugins provenant de sources fiables. Évitez les versions obsolètes ou piratées, car elles peuvent contenir des malwares ou des portes dérobées.

3. Changer le nom d’utilisateur « admin » :
Lors de l’installation de WordPress, choisissez un nom d’utilisateur différent de « admin ». Ce nom d’utilisateur est celui que WordPress attribue dès l’installation, c’est le nom d’utilisateur le plus utilisé dans les attaques par dictionnaire.

4. Mot de passe robuste :
Utilisez des mots de passe forts et uniques pour votre compte administrateur, votre base de données et votre compte FTP. Pensez à changer ces mots de passe régulièrement.

5. Limitation des tentatives de connexion :
Installez des plugins comme « Limit Login Attempts » qui bloquent les adresses IP après un certain nombre de tentatives de connexion infructueuses.

6. Sécurité au niveau du serveur :
Protégez le fichier .htaccess, désactivez la liste des répertoires et assurez-vous que les permissions des fichiers sont correctement configurées.

7. Sauvegardes régulières :
Mettez en place un système de sauvegarde automatique pour votre site. Conservez ces sauvegardes dans un endroit sûr et hors ligne. Ainsi, en cas de problème, vous pourrez restaurer rapidement votre site.

Questions courantes suite à un piratage