Aujourd’hui, tous les sites webs sont concernés par le piratage, que ce soit par des tentatives infructueuses ou des tentatives réussies. Les pirates sont de plus en plus ingénieux et varient les techniques pour réussir à accéder à votre site en misant sur vos émotions ou votre manque de connaissances.
Un piratage réussi peut avoir un impact considérable sur une activité avec des pertes de chiffre d’affaires, des rançons, des fuites de données sensibles. Et le SEO n’est pas épargné, c’est une des premières victimes lors d’un piratage !
Pour réussir à se protéger d’un piratage ou pour savoir comment réagir, il faut d’abord comprendre les différents piratages auxquels vous pourriez être confronté.
Le pirate va chercher très rapidement à trouver une faille sur votre site (en surchargeant votre serveur de requêtes ou en trouvant votre mot de passe). L’objectif grâce à cette faille est de pouvoir changer tous les accès du site, immobiliser votre activité et vous réclamer une rançon pour vous la rendre. C’est une pratique très efficace pour les pirates, mais aussi très risquée puisqu’il prend contact avec vous.
Il est fréquent aussi que des pirates s’introduisent sur un site qui propose des paiements en ligne pour changer le RIB du compte qui va collecter les paiements. Ainsi, vos accès ne changent pas, vous continuez à faire des ventes, mais l’argent n’arrive jamais sur votre compte, et quand vous le constatez, vous avez parfois perdu quelques milliers d’euros.
C’est le piratage le plus effectué sur les sites. Plutôt que de demander une rançon ou changer le RIB, qui peuvent être éphémères, le pirate va modifier votre site pour y intégrer du cloaking. Le but, que rien ne change pour vous, pour vos utilisateurs, mais que tout change pour Google. Vous allez donc souvent vous retrouver avec des pages de très mauvaise qualité en forte quantité qui vont apparaître sur google. Si vous tentez d’y accéder, vous êtes redirigé vers la page d’accueil, mais ce que Google voit, c’est une page de vente de produits issus d’alibaba.
Mis à part pour le rançonnage où le pirate prend contact avec vous, c’est à vous de voir si votre site à été piraté et plus vous mettez de temps, plus l’impact sur votre référencement va être important. Il est donc important de connaître les signes qui annoncent un piratage.
Pour le changement de RIB, il suffit de regarder son compte régulièrement et voir si tous les paiements arrivent bien dessus (attention, les pirates ne changent pas le RIB pour toutes les solutions de paiement pour être détectés moins rapidement et que vous continuiez à recevoir des paiements malgré le piratage).
Pour la dissimulation de contenus, c’est beaucoup plus complexe car il faut surveiller votre search console pour détecter des anomalies. Les principaux signaux sont les suivants :
L’idée va donc être de vous rendre régulièrement dans votre search console pour surveiller ces KPI et tester des pages pour voir si elles ne sont pas piratées.
Pour que le pirate puisse accéder au site, il a forcément fallu qu’il trouve une porte d’entrée. Par chance, il n’y a pas beaucoup de solutions :
Pour savoir s’il est passé par le back-office, il suffit de consulter l’historique de connexion (si votre CMS en propose un) et consulter l’historique de modification pour identifier quel compte a été utilisé. Il faudra ensuite vérifier tous les utilisateurs pour voir s’il n’y a pas un nouvel utilisateur qui a été ajouté ou des mots de passe qui auraient été modifiés.
Pour savoir si l’utilisateur est passé par une extension, il faut vérifier si d’autres cas ont été reportés par des utilisateurs de l’extension et si l’extension est bien à jour.
Pour savoir si un hackeur est passé par le serveur, il faut regarder les logs serveurs et voir s’il n’y a pas eu une surcharge serveur qui aurait pu laisser un espace aux pirates. Il faut aussi aller vérifier le fichier index.php du site qui ne peut être changé que via le FTP ou une extension qui le permette sur le back-office. Il faut ensuite lancer un scan du serveur auprès de votre hébergeur.
L’objectif est de corriger le piratage et de changer tous les accès au site le plus rapidement possible. Une fois toutes ces manipulations effectuées, il faut lancer un scan complet du serveur et de tous ses sites pour voir s’il n’y a pas de code résiduel.
Il faut aussi vérifier le fichier index.php du site et s’assurer qu’il n’y a pas de fonctions non prévues.
Une fois toutes ces vérifications effectuées, il va falloir retester le site avec la Search Console. Vous allez donc importer une URL qui était piratée et qui avait sa title dans une langue différente et réaliser un test en direct. Si la search console affiche votre site normalement, c’est que le cloaking a disparu. Si vous continuez à voir des pages piratées, c’est que le souci n’est pas complètement réglé.
Résultat du test de la page sur la dernière version connue :
Résultat du test en direct :
Dans notre exemple, la page est bien en 404, donc c’est que le piratage a disparu ! Il va maintenant falloir commencer le grand ménage pour supprimer toutes ces pages de l'index !
Maintenant que le piratage n’est plus présent sur le site, il va falloir chercher à limiter l’impact sur le SEO. Plus le piratage a été pris en charge rapidement, moins il a d’impact et inversement. Il va donc falloir réagir rapidement en mettant en place une série d’actions.
Il va dans un premier temps falloir identifier toutes les pages qui ont été impactées.Cela peut se faire avec la search console ou avec une analyse de logs qui permet de savoir toutes les pages qui ont été visitées par les robots (Google, bing…).
Pour les pages stratégiques, il va falloir faire de nouvelles demandes d’indexation (jusqu’au quotas journaliers) pour faire en sorte que Google détecte que le piratage n’est plus présent sur ces pages. Pour aller plus vite dans la réindexation, il faudra aussi miser sur des outils d’indexation rapides tels que indexmenow qui permettent de faire des demandes en forte quantité et d’aller plus vite qu’avec la search console (avec un taux de réussite plus faible). Les demandes de réindexation vont devoir être régulières jusqu’à ce que toutes les pages soient à nouveau explorées par Google.
Pour les pages non stratégiques, il va falloir vérifier qu’elles sont bien supprimées suite à la désactivation du piratage et ensuite toutes les passer en 410 pour envoyer le signal que ces pages ont été supprimées volontairement et qu’elles ne reviendront pas. Pour les identifier, les pirates utilisent souvent des patterns d’URLs tels que /i/ ou /n/.
L’idéal, lorsque c’est possible c’est de voir sur les pages du site, tout ce qui a été modifié pour pouvoir supprimer les modifications. Une bonne solution est de restaurer une ancienne sauvegarde s’il existe une sauvegarde qui date de juste avant le piratage.
Il y a de fortes probabilités que votre search console ait détecté un nombre important de pages suite au piratage et qu’elle en ait indexé beaucoup. Il va donc falloir réussir à récupérer toutes les URLs de ces pages pour faire des demandes de suppressions. Attention, une mauvaise manipulation avec cette fonctionnalité peut désindexer l’intégralité de votre site.
Il va donc falloir faire des demandes unitaires. Ce travail peut s’avérer long, mais il peut être accéléré à l’aide d’outils d’automatisation tels que Zennoposter ou des extensions chrome qui proposent l’ajout en masse de demandes de suppression.
Maintenant que votre piratage est corrigé, il serait un peu idiot de se faire pirater une nouvelle fois. Il va donc falloir mettre en place des solutions pour limiter le risque.
Le souci qui cause le plus de piratage, c’est qu’il est assez simple sur la majeure partie des CMS de retrouver l’URL de login et de pouvoir commencer à faire des tentatives de connexion. Changer l’URL d’accès à votre back-office permet d’éliminer tous les piratages de masse qui vont par exemple tenter sur wordpress de récupérer une liste de sites et ensuite d’accéder à l’URL domaine.fr/wp-admin/ pour voir le code de réponse de la page. Si cette page est en 404, le pirate de masse va stopper sa tentative là.
Attention, si vous changez l’URL de connexion à l’admin, ne redirigez pas l’ancienne URL vers la nouvelle, sinon vos efforts n’auront servi à rien.
Lorsqu’un CMS se met à jour, au-delà d’apporter de nouvelles fonctionnalités, c’est surtout pour apporter des correctifs de sécurité. Il est donc primordial d’avoir un CMS et des extensions à jour pour limiter les failles de sécurité liées aux anciennes versions.
Il faut donc penser à supprimer les extensions non utilisées pour éviter de mettre à jour des plugins qui ne servent pas.
Vous pourriez de manière logique vous dire que tant que vous n’avez pas été piraté, rien ne sert de changer vos mots de passe administrateur, mais c’est faux ! Au contraire, si vous gardez toujours le même mot de passe, il sera plus facile pour un pirate de le trouver, alors que si vous en changez régulièrement, vous limitez le risque. Un point important est aussi de supprimer les comptes utilisateurs qui n’ont pas été utilisés depuis longtemps pour limiter le nombre de comptes sur le site.
La majeure partie des piratages ont lieu à cause de négligences et d'erreurs humaines. Ces erreurs proviennent généralement de clics sur des liens frauduleux qui réussissent à collecter des données et récupérer des mots de passe. Il est donc primordial de réaliser des campagnes de sensibilisation auprès des salariés qui ont accès au site. Certaines entreprises vont même jusqu’à lancer des fausses campagnes de phishing pour voir les salariés qui sont susceptibles de se faire avoir !
Puisque le risque zéro n’existe pas, il faut prendre les devants et effectuer des sauvegardes régulières pour avoir un point de sauvegarde récent à restaurer en cas de piratage de votre site. Cela vous permet de reprendre votre activité rapidement en ayant juste quelques détails à modifier pour revenir à la normale.
Pour vous assurer de détecter les piratages très rapidement, il faut surveiller les logs du site. C’est à cet endroit que vous verrez toutes les pages que Google a visitées et que vous pourrez voir les anomalies. Vous pourrez ainsi réagir au moindre signe de piratage et supprimer les soucis très rapidement.
