The #ChromeDevSummit site is live, happening Nov 12-13 in San Francisco, CA
Check it out for details and request an invite. We'll be diving deep into modern web tech & looking ahead to the platform's future.

Nettoyage du piratage par contenu vide de sens

Ce guide a été spécifiquement créé pour un type de piratage qui ajoute à votre site des pages truffées de mots clés, mais au contenu vide de sens. C'est ce que nous appelons le "piratage par contenu vide de sens". Ce guide s'adresse avant tout aux utilisateurs de systèmes de gestion de contenu populaires (CMS), mais il peut vous être utile, même si vous ne vous servez pas d'un tel système.

Remarque : Vous ignorez si votre site a été piraté ? Commencez par lire notre guide Comment savoir si mon site a été piraté ?

Sommaire

Identification du type de piratage

Le piratage par contenu vide de sens consiste à générer automatiquement de nombreuses pages contenant des phrases incompréhensibles remplies de mots clés sur le site ciblé. Vous n'êtes pas l'auteur de ces pages, mais leur URL peut inciter les internautes à cliquer dessus. Les pirates informatiques emploient cette méthode pour que les URLs injectées sur le site piraté s'affiche dans la recherche Google. Ensuite, lorsque les internautes tentent de consulter ces pages, ils sont redirigés vers une page sans rapport, comme un site pornographique. Les pirates gagnent de l'argent lorsque les internautes consultent ces pages. Voici des exemples du type de fichiers que vous pouvez être amené à rencontrer sur un site infecté par une opération de piratage par contenu vide de sens :

  • www.example.com/cheap-hair-styles-cool.html
  • www.example.com/free-pictures-fun.html
  • www.example.com/nice-song-download-file.php

Parfois, ils apparaissent dans un dossier composé de caractères aléatoires et utilisent différentes langues :

  • www.example.com/jfwoea/cheap-hair-styles-cool.html
  • www.example.com/jfwoea/free-pictures-fun.html
  • www.example.com/jfwoea/www-ki-motn-dudh-photo.php
  • www.example.com/jfwoea/foto-cewe-zaman-sekarang.php

Commencez par consulter l'outil Problèmes de sécurité dans la Search Console pour voir si nous avons découvert l'une de ces pages piratées sur votre site. Vous pouvez également découvrir ce type de page en saisissant site:votre site url, avec l'URL racine de votre site dans une fenêtre de recherche Google. Les pages que nous avons indexées pour votre site, y compris les pages piratées, sont alors affichées. Parcourez quelques pages des résultats de recherche pour voir si vous rencontrez des URL inhabituelles. Si vous ne détectez aucun contenu piraté dans la recherche Google, utilisez les mêmes termes de recherche dans un autre moteur de recherche. Exemple :

Notez que les résultats de recherche contiennent ici plusieurs pages non créées par le propriétaire du site. Si vous regardez attentivement les descriptions, vous verrez des exemples de texte vide de sens créés par ce type de piratage.

En règle générale, lorsque vous cliquez sur un lien renvoyant à une page piratée, vous êtes redirigé vers un autre site ou vers une page pleine de contenu vide de sens. Vous pouvez également obtenir un message vous informant que la page n'existe pas (par exemple, une erreur 404). Faites attention. Les pirates tenteront de vous faire croire que la page a disparu ou qu'elle a été corrigée alors qu'elle est encore piratée. Pour ce faire, les pirates utilisent des techniques de dissimulation (cloaking) pour cacher leur contenu. Vérifiez si votre site est concerné par le cloaking en saisissant les URL infectées dans l'outil Explorer comme Google. Cet outil vous permet de voir le contenu masqué sous-jacent.

Si vous constatez de tels problèmes, votre site a probablement été infecté par ce type de piratage.

Nettoyage du piratage

Avant toute chose, faites une copie hors ligne des fichiers que vous souhaitez supprimer, au cas où vous devriez les restaurer plus tard. Il est même préférable de sauvegarder l'intégralité de votre site avant de commencer le processus de nettoyage. Pour cela, vous pouvez sauvegarder tous les fichiers de votre serveur hors ligne ou rechercher les meilleures options de sauvegarde pour votre système CMS.

Vérifier le fichier .htaccess (deux étapes)

Le piratage par contenu vide de sens redirige les visiteurs de votre site à l'aide du fichier .htaccess.

Étape 1

Trouvez le fichier .htaccess sur votre site. Si vous ne savez pas où chercher et si vous utilisez un CMS comme WordPress, Joomla ou Drupal, saisissez "emplacement fichier .htaccess" dans un moteur de recherche en indiquant le nom de votre CMS. En fonction de votre site, il se peut que vous trouviez plusieurs fichiers .htaccess. Répertoriez alors l'emplacement de chacun d'eux.

Remarque : Le fichier .htaccess est souvent un fichier "caché". Veillez à activer l'affichage des fichiers cachés lorsque vous effectuez une recherche.

Étape 2

Remplacez tous les fichiers .htaccess par leur version propre ou par défaut. Vous pouvez généralement trouver une version par défaut d'un fichier .htaccess en recherchant "fichier .htaccess par défaut" et le nom de votre système de gestion de contenu. Pour les sites contenant plusieurs fichiers .htaccess, trouvez une version non infectée de chacun d'eux et procédez au remplacement.

S'il n'existe aucun fichier .htaccess par défaut et si vous n'avez jamais configuré ce type de fichier sur votre site, le fichier .htaccess que vous trouvez sur votre site est probablement malveillant. Par précaution, enregistrez une copie du ou des fichiers .htaccess hors ligne et supprimez-les de votre site.

Recherche et suppression des autres fichiers malveillants (cinq étapes)

L'identification des fichiers malveillants peut être délicate et fastidieuse. Prenez votre temps lors de la vérification des fichiers. Le cas échéant, profitez-en pour sauvegarder les fichiers de votre site. Dans la recherche Google, saisissez "sauvegarder le site" et le nom de votre système CMS pour obtenir la procédure de sauvegarde de votre site.

Étape 1

Si vous utilisez un système de gestion de contenu, réinstallez tous les fichiers par défaut/de base fournis avec votre système CMS, ainsi que tout ce que vous avez pu ajouter (thèmes, modules, plug-ins, etc.). Vous serez ainsi certain que ces fichiers sont exempts de tout contenu piraté. Pour connaître la procédure de réinstallation, saisissez "réinstaller" et le nom de votre système de gestion de contenu dans la recherche Google. Si vous disposez de plug-ins, de modules, d'extensions ou de thèmes, veillez à les réinstaller également.

La réinstallation des fichiers par défaut peut vous faire perdre certaines personnalisations. Pensez à créer une sauvegarde de votre base de données et de tous les fichiers avant de procéder à la réinstallation.

Étape 2

Maintenant, vous devez rechercher les autres fichiers malveillants ou infectés. C'est la partie la plus difficile et la plus fastidieuse. Après cela, vous aurez presque terminé.

Cette méthode de piratage laisse généralement deux types de fichiers : des fichiers .txt et des fichiers .php. Les fichiers .txt servent de fichiers de modèle ; les fichiers .php déterminent le type de contenu vide de sens à charger sur votre site. Commencez par rechercher les fichiers .txt. Selon la manière dont vous vous connectez à votre site, vous devriez pouvoir accéder à une fonctionnalité de recherche de fichiers. Recherchez ".txt" pour extraire tous les fichiers portant cette extension. La plupart des fichiers trouvés sont des fichiers texte légitimes comme des accords de licence, des fichiers "lisez-moi", etc. Vous recherchez un ensemble de fichiers .txt précis contenant le code HTML utilisé pour créer des modèles de type spam. Voici des extraits de différents morceaux de code que vous pouvez trouver dans ces fichiers .txt malveillants.

Les pirates utilisent le remplacement de mots clés pour créer des pages contenant du spam. Il est fort probable que vous trouviez un mot générique qui peut être remplacé dans l'ensemble du fichier piraté.

  <title>{keyword}</title>
  <meta name="description" content="{keyword}" />
  <meta name="keywords" content="{keyword}" />
  <meta property="og:title" content="{keyword}" />

En outre, la plupart de ces fichiers contiennent du code qui positionne les liens contenant du spam et le texte indésirable en dehors de la page visible.

  <div style="position: absolute; top: -1000px; left: -1000px;">
  Cheap prescription drugs
  </div>

Supprimez ces fichiers .txt. S'ils se trouvent tous dans le même dossier, vous pouvez supprimer le dossier.

Étape 3

Les fichiers PHP malveillants sont un peu plus difficiles à repérer. Votre site peut être infecté par un ou plusieurs de ces fichiers. Ils peuvent être tous contenus dans le même sous-répertoire ou être dispersés dans votre site.

Rassurez-vous, vous ne serez pas obligé d'ouvrir chacun des fichiers PHP. Commencez par répertorier les fichiers PHP suspects que vous souhaitez examiner. Les méthodes suivantes vous permettront de les identifier :

  • Puisque vous avez déjà rechargé vos fichiers CMS, vérifiez uniquement les fichiers qui ne font pas partie de vos fichiers ou de vos dossiers CMS par défaut. Vous pourrez ainsi éliminer un grand nombre de fichiers PHP. Il ne vous restera alors plus qu'un petit nombre de fichiers à examiner.
  • Triez les fichiers de votre site en fonction de leur date de dernière modification. Recherchez les fichiers qui ont été modifiés quelques mois avant la découverte du piratage de votre site.
  • Triez les fichiers de votre site par taille. Recherchez les fichiers exceptionnellement volumineux.

Étape 4

Après avoir identifié les fichiers PHP suspects, vous devez vérifier s'ils sont sans danger ou malveillants. Si vous n'êtes pas habitué au langage PHP, cette procédure sera plus fastidieuse. Prenez donc le temps de parcourir la documentation PHP au préalable. Même si vous ignorez tout du codage, vous pouvez tout de même rechercher certains modèles de base afin d'identifier les fichiers malveillants.

Tout d'abord, parcourez les fichiers suspects déjà identifiés et recherchez de gros blocs de texte contenant un mélange de lettres et de chiffres. Ces grands blocs de texte sont généralement précédés d'une combinaison de fonctions PHP comme base64_decode, rot13, eval, strrev et gzinflate. Voici un exemple de ce à quoi pourrait ressembler un tel bloc de code. Parfois, ce code apparaît dans une longue ligne de texte. Il semble donc plus petit qu'il ne l'est en réalité.

<!--Les pirates essaient de tromper les webmasters en injectant du code malicieux dans des
blocs de texte. Attention aux blocs de code bizarre comme celui ci-dessous :-->

base64_decode(strrev("hMXZpRXaslmYhJXZuxWd2BSZ0l2cgknbhByZul2czVmckRWYgknYgM3ajFGd0FGIlJXd0VnZgk
nbhBSbvJnZgUGdpNHIyV3b5BSZyV3YlNHIvRHI0V2Zy9mZgQ3Ju9GRg4SZ0l2cgIXdvlHI4lmZg4WYjBSdvlHIsU2chVmcnBydv
JGblBiZvBCdpJGIhBCZuFGIl1Wa0BCa0l2dgQXdCBiLkJXYoBSZiBibhNGIlR2bjBycphGdgcmbpRXYjNXdmJ2blRGI5xWZ0Fmb
1RncvZmbVBiLn5WauVGcwFGagM3J0FGa3BCZuFGdzJXZk5Wdg8GdgU3b5BicvZGI0xWdjlmZmlGZgQXagU2ah1GIvRHIzlGa0B
SZrlGbgUGZvNGIlRWaoByb0BSZrlGbgMnclt2YhhEIuUGZvNGIlxmYhRWYlJnb1BychByZulGZhJXZ1F3ch1GIlR2bjBCZlRXY
jNXdmJ2bgMXdvl2YpxWYtBiZvBSZjVWawBSYgMXagMXaoRFIskGS"));

Dans certains cas, le code n'est pas constitué d'un mélange de lettres et de chiffres, et ressemble à un script normal. Si vous ignorez si le code est correct, consultez nos forums d'aide pour les webmasters. Un groupe de webmasters expérimentés pourra vous aider à examiner les fichiers.

Étape 5

Maintenant que vous avez identifié les fichiers suspects, créez-en une copie de sauvegarde ou une copie locale en les enregistrant sur votre ordinateur, au cas où ils ne seraient pas malveillants, puis supprimez ces fichiers suspects.

Vérifier si votre site est propre

Une fois que les fichiers piratés ont été supprimés, vérifiez si votre travail est concluant. Vous rappelez-vous les pages vides de sens identifiées précédemment ? Utilisez à nouveau l'outil Explorer comme Google sur ces pages pour vérifier si elles existent encore. Si ces pages sont indiquées comme inexistantes dans cet outil, il y a de fortes chances pour que votre site soit nettoyé.

Vous pouvez également suivre les étapes de l'outil de dépannage pour les sites piratés pour vérifier si votre site contient encore du contenu piraté.

Comment ne plus être piraté ?

Pour finir de nettoyer votre site, il est indispensable d'en corriger les failles. Une étude récente a permis de constater que 20 % des sites piratés font l'objet d'un nouveau piratage dans le jour qui suit. Il est très utile de savoir exactement comment votre site a été piraté. Pour commencer vos recherches, lisez notre guide consacré aux principales méthodes de piratage des sites Web par les spammeurs. Si vous ne parvenez pas à savoir comment votre site a été piraté, reportez-vous à la liste ci-dessous pour savoir quoi faire pour réduire le nombre de vulnérabilités sur votre site.

  • Analysez régulièrement votre ordinateur : utilisez un antivirus classique pour rechercher les virus ou les vulnérabilités.
  • Modifiez régulièrement vos mots de passe : modifiez régulièrement les mots de passe de tous vos comptes de site Web, comme votre fournisseur d'hébergement, votre FTP et votre CMS, afin d'empêcher tout accès non autorisé à votre site. Il est important de créer un mot de passe sécurisé et unique pour chaque compte.
  • Utilisez l'authentification à deux facteurs (2FA) : pensez à activer ce type d'authentification sur tous les services qui nécessitent une connexion. Avec ce type d'authentification, les pirates informatiques ont plus de difficultés à se connecter, même s'ils réussissent à dérober votre mot de passe.
  • Mettez régulièrement à jour votre système de gestion de contenu, les plug-ins, les extensions et les modules : vous devez normalement déjà avoir effectué cette étape. De nombreux sites sont piratés parce que des logiciels obsolètes y sont exécutés. Certains CMS acceptent la mise à jour automatique.
  • Pensez à vous abonner à un service de sécurité pour surveiller votre site : de nombreux services très performants peuvent vous aider à surveiller votre site moyennant des frais modiques. Pensez à vous enregistrer auprès de ces services afin de protéger votre site.

Ressources supplémentaires

Si vous avez toujours des difficultés à nettoyer votre site, reportez-vous aux ressources supplémentaires suivantes.

Ces outils analysent votre site et sont en mesure de détecter tout contenu problématique. Hormis VirusTotal, nous ne gérons aucun de ces outils et nous n'en sommes pas non plus responsables.

VirusTotal, Aw-snap.info, Sucuri Site Check et Quttera : ces outils (entre autres) sont susceptibles de rechercher des contenus problématiques sur votre site. N'oubliez pas que ces analyseurs n'identifieront pas forcément tous les types de contenus problématiques.

Les ressources supplémentaires Google suivantes pourront vous aider :

Il vous manque un outil qui vous serait utile ? Laissez-nous un commentaire pour nous en informer.