Détecter et réparer le piratage par mots clés Japonais

Permet de déceler un Hack Japanese Keyword et de voir ce que Google voit lorsqu'il visite votre site.

Le piratage par mots clés Japonais, aussi appelé Japanese Keyword Hack est une technique utilisée par les pirates pour présenter un contenu différent aux moteurs de recherche par rapport à ce que les visiteurs humains voient. Les pirates peuvent l'utiliser pour dissimuler du contenu malveillant ou trompeur, et tromper les moteurs de recherche pour qu'ils classent le site plus haut pour certains mots-clés.

Si votre site s'affiche en japonais, c'est probablement parce qu'il a été piraté avec du cloaking. Les pirates ont modifié votre site pour qu'il affiche un contenu différent (dans ce cas, du texte en japonais) lorsqu'il est visité par les robots de Google. Nous avons simulé le Googlebot pour vous montrer exactement ce que Google voit lorsqu'il visite votre site.

Cela peut prendre du temps avant que Google ne ré-indexe votre site et affiche le contenu correct. Le pirate a probablement soumis un grand nombre d'URLs à Google pour l'indexation, et Google les traitera progressivement. Même si ces URLs retournent maintenant une erreur 404, elles peuvent toujours apparaître dans les résultats de recherche pendant un certain temps.

Oui, il peut y avoir un risque pour vos clients si le pirate a accédé à votre base de données. Ils peuvent potentiellement voler des informations sensibles. Toutefois, si vous utilisez WordPress, les mots de passe sont stockés de manière sécurisée à l'aide d'un algorithme de hachage robuste (bcrypt), ce qui rend très difficile leur déchiffrage par un tiers.

Les moteurs de recherche comme Google déconseillent fortement les techniques de cloaking et les considèrent comme une violation de leurs directives pour les webmasters. Si Google détecte que votre site a été piraté et qu'il utilise du cloaking, cela peut entraîner une action manuelle contre votre site, ce qui peut affecter votre classement dans les résultats de recherche. Après avoir résolu le problème, vous pouvez demander à Google de reconsidérer votre site.

Cloaking et piratage par mots clés Japonais

Vous savez ce qu'on appelle le cloaking dans le monde du piratage ? C'est une tactique assez sournoise, très utilisée dans les attaques par mots-clés, notamment japonais. En gros, le site montre un visage aux moteurs de recherche et un autre totalement différent aux utilisateurs comme vous.

C'est malin, n'est-ce pas ? L'idée, c'est de truquer le jeu pour se hisser plus haut dans les résultats de recherche. D'un côté, les moteurs de recherche voient un contenu nickel, bien aligné sur les mots-clés. De l'autre côté, les utilisateurs tombent sur du contenu moins soigné, parfois même carrément trompeur.

Le hic avec le cloaking, c'est que ça peut aussi servir à camoufler le vrai contenu d'un site aux yeux des moteurs de recherche. Résultat ? Une chute sévère du trafic venant de ces derniers. Et comme vous pouvez l'imaginer, Google et compagnie ne sont pas fans de cette pratique. Les sites qui jouent à ce jeu risquent gros, jusqu'à se faire carrément bannir des résultats de recherche.

Quels sont les symptomes d'une attaque par mots clés Japonais ?

Maintenant, comment savoir si votre site est victime d'une attaque par mots-clés, que ce soit en japonais ou en chinois ? Voilà quelques signes qui ne trompent pas. D'abord, si votre site commence à renvoyer des erreurs 500, c'est louche. Un fichier .htaccess modifié tout seul, c'est un gros drapeau rouge. Restez aux aguets pour des fichiers étranges, avec des noms qui sortent de l'ordinaire.

Une flambée soudaine de trafic, surtout venant de l'autre bout du monde, mérite aussi votre attention. Et si en cherchant votre site sur Google avec "site:votresite.com", vous tombez sur des pages en pagaille, avec des titres en japonais, c'est quasi certain que quelque chose ne tourne pas rond. Enfin, un serveur qui ralentit subitement ou des alertes de sécurité intempestives quand vous accédez à votre site, c'est le moment de s'inquiéter.

Affichage d'un site piraté par mots clés japonais sur Google

Liste non exhaustive des différents symptomes suite à un piratage

  • Erreurs 500 fréquentes : apparition soudaine d'erreurs serveur, indiquant des problèmes internes.
  • Modifications inattendues du .htaccess : changements non autorisés dans ce fichier de configuration crucial.
  • Présence de fichiers étranges : découverte de fichiers avec des noms inhabituels ou des emplacements suspects.
  • Augmentation inexplicable du trafic : pic de visites, souvent provenant de régions éloignées ou inattendues.
  • Contenu ou liens inconnus : apparition de textes, images, ou liens étranges, parfois en langues étrangères comme le japonais.
  • Changements dans les résultats de recherche Google : augmentation anormale du nombre de pages indexées ou présence de titres en langues étrangères lors d'une recherche avec "site:votredomaine.com".
  • Ralentissement du site : baisse notable de la vitesse de chargement des pages.
  • Alertes de sécurité des navigateurs ou antivirus : avertissements lors de l'accès à votre site.
  • Comportements étranges des emails : réception de messages de phishing ou d'avertissements de sécurité concernant votre domaine.
  • Modification ou suppression de contenu : perte ou altération de données sans explication.
  • Activité suspecte dans les logs du serveur : accès non autorisés ou actions inhabituelles enregistrées.
  • Alertes de sécurité de la part de services tiers : notifications d'outils de surveillance de site ou de plugins de sécurité.
  • Problèmes d'accès à l'administration du site : difficultés à se connecter ou à maintenir l'accès au backend.
  • Modifications non autorisées des comptes utilisateurs : création, suppression ou modification de comptes sans votre consentement.

Pourquoi les pirates affichent du contenu en japonais tout en le cachant aux utilisateurs ?

Pourquoi un pirate informatique irait-il se donner tout ce mal pour afficher du contenu en japonais, tout en le masquant aux yeux des utilisateurs ordinaires comme vous ? C'est là que le cloaking prend tout son sens. On entre dans un monde où le subterfuge et la ruse sont rois.

En se servant du cloaking, les pirates peuvent manipuler ce que les moteurs de recherche, comme Google, voient. Ils utilisent ce qu'on appelle le "user-agent" pour différencier un simple visiteur d'un moteur de recherche. Le user-agent, c'est l'identité numérique de celui qui visite le site. Si le user-agent indique qu'il s'agit d'un moteur de recherche, alors bingo ! Le site lui montre un contenu hyper optimisé, truffé de mots-clés en japonais.

Mais pour un utilisateur lambda, le site semble tout ce qu'il y a de plus normal. C'est là toute la ruse, vous, vous voyez un contenu tout à fait banal, alors qu'en réalité, le site joue un double jeu. Ce manège permet aux pirates de booster artificiellement le référencement du site sur des mots-clés bien précis, souvent dans une niche lucrative mais peu concurrentielle.

Mais attention, cette technique n'est pas sans risque. Les moteurs de recherche, en particulier Google, sont de plus en plus malins pour détecter ces pratiques. Ils peuvent sanctionner les sites qui usent de cloaking en les déclassant ou même en les supprimant purement et simplement de leurs index. C'est un jeu du chat et de la souris constant entre les pirates et les géants du web.

Exemple de contenu dissimulé que l'on peut observer régulièrement

contenu dissimulé piratage par mots clés japonais

Est-ce que le piratage par mots clés Japonais fait gagner de l'argent au pirate ?

Lorsqu'un pirate utilise votre site pour afficher des contenus cachés, souvent en japonais, il joue sur plusieurs tableaux. D'abord, il y a le référencement. En bourrant votre site de mots-clés en japonais, le pirate vise à améliorer le positionnement de pages spécifiques sur les moteurs de recherche. Ces pages peuvent mener à des sites de vente douteux, de faux produits, voire de malwares.

Ensuite, il y a le côté plus sombre, celui de l'infection par des logiciels malveillants. En insérant des scripts cachés, le pirate peut tenter de distribuer des malwares à vos visiteurs sans éveiller vos soupçons ni ceux des moteurs de recherche. C'est une manière détournée de propager des virus ou des ransomwares, en profitant de la confiance que vos visiteurs ont en votre site.

Et puis, il ne faut pas oublier l'aspect monétisation. Certains pirates se servent de cette technique pour rediriger le trafic vers des sites affiliés ou des publicités, engrangeant ainsi des revenus publicitaires indus. En gros, votre site devient une machine à fric pour le pirate, et vous, vous n'y voyez que du feu.

Trouver du code malveillant sur son serveur WordPress

D'abord, on va se connecter à votre serveur via SSH. C'est un peu comme entrer dans la pièce secrète de votre site. Une fois que vous êtes dedans, c'est parti pour la traque !


À la recherche des fichiers fraîchement modifiés : Les hackers, une fois qu'ils se sont introduits, ils aiment bien laisser des petites surprises. Pour les dénicher, on va utiliser cette commande magique :

find /chemin/de/votre/site -type f -mtime -15

Ici, -mtime -15 c'est notre baguette magique pour repérer les fichiers qui ont été modifiés ou apparus ces 15 derniers jours. Vous pouvez jouer avec le chiffre pour élargir ou réduire votre recherche.


À l'affût des PHP suspects : Les fichiers PHP, c'est un peu comme les pièces d'or pour les pirates informatiques. Ils les cachent dans des endroits où on ne les attend pas. Pour les surprendre, on sort cette commande :

find /chemin/de/votre/site/wp-content/uploads -name "*.php"

Cette commande, c'est votre longue-vue pour repérer les fichiers PHP qui se baladent là où ils ne devraient pas, surtout dans le répertoire uploads. Normalement, y'a pas de PHP là-dedans, alors si vous en trouvez, c'est qu'il y a anguille sous roche !


Sur les traces des encodeurs : Les hackers aiment encoder leurs mauvaises intentions pour ne pas se faire repérer. Pour déchiffrer leurs messages secrets, on utilise ça :

find /chemin/de/votre/site -type f -exec grep -l "base64_decode" {} \;

Cette commande, c'est un peu comme un décodeur. Elle va vous aider à trouver les fichiers qui contiennent l'expression base64_decode, un classique des cachettes de codes malveillants.


Mais n'oubliez pas, si vous trouvez quelque chose de suspect, il vaut mieux faire appel à un magicien du web, un développeur expérimenté, pour vous aider à nettoyer tout ça sans faire de dégâts. Bonne chance, et que la force de la traque soit avec vous !

En cas de détection de phishing ou de logiciel malveillant sur votre site, un prestataire vous contactera pour désinfecter et sécuriser votre site (sans aucune obligation).