Comment réparer et protéger un site Web piraté ?

Grâce à ces conseils de , vous allez certainement apprendre de nombreuses choses qui vous échappaient peut-être jusqu’à maintenant.

Les conseils de Google pour réparer un site web piraté

Et ce afin de mieux gérer, nettoyer et réparer votre site web en cas de piratage.

Les webmasters dont le site est infecté souhaitent évidemment vite le nettoyer mais, malheureusement, beaucoup ne savent pas par où commencer.

C’est pourquoi Google a mis en place une page de détection de problèmes de piratage, et un site d’assistance aux webmasters pour les sites piratés.

1er cas : Un site de restaurant avec de multiples scripts malicieux injectés

Un site de restaurant développé à partir de a reçu un message de la part de l’Equipe de Google Webmaster Tools l’informant que son site a été piraté.

Afin de protéger les utilisateurs de Google, ce site a été labellisé sur les pages de résultats de Google avec la mention “Il est possible que ce site ait été piraté”.

Entre temps, la responsable du site informée a analysé le code source de son site avant de s’apercevoir que celui-ci avait de nombreux liens avec des ancres utilisant le terme “viagra” et pointant vers des sites vendant des produits pharmaceutiques.

Elle a aussi constaté que les balises meta description de nombreuses pages avaient été modifiées avec l’ajout de texte tels que “achetez du Valtrex en Floride”.

Il figurait aussi dans de nombreuses pages des contenus masqués dans des balises div avec des liens sortants pointant vers de très nombreux sites inconnus par elle.

La propriétaire du site, Sam, a donc supprimé tous les contenus ajoutés à son insu et a envoyé une demande en réexamen à Google. Mais, cette demande à été rejetée par Google et sa pénalité manuelle n’a pas été levée.

Cependant, dans les justifications de ce rejet de demande en reconsidération, Google lui a quand même donné des conseils pour tenter de l’orienter vers des scripts non familiers intégrés dans des fichiers PHP et surtout de vérifier son fichier .Htaccess.

En effet, c’est dans ces fichiers que les pirates ont introduit des scripts pour présenter d’autres contenus autres que les siens aux moteurs de recherche. Des contenus qui ne sont pas ceux présentés aux utilisateurs (cloacking).

Sam a donc suivi les conseils de Google et s’est rendu compte que ses fichiers WordPress “footer.php”, “index.php” et “functions.php” étaient bourrés de scripts inconnus par elle. Après comparaison avec ses fichiers sauvegardés sur son ordinateur, elle a fait le nécessaire et a soumis une autre demande de réexamen à Google qui l’a acceptée et levé sa pénalité.

Suivant le cas de Sam, voici les recommandations de Google pour protéger à l’avenir un site créé avec un logiciel CMS :

  • Les logiciels de création de site CMS (Content Management System) tels que WordPress, Joomla, Drupal et autres doivent être constamment mis à jour avec la dernière version.
  • Assurez-vous que les plugins sont bien à jour aussi.
  • Assurez-vous que le compte utilisé pour accéder à votre page d’Adminsitration et de gestion utilise un mot de passe unique et difficile à déchiffrer. Vous pouvez en créer de plus sécurisé depuis le site PasswordGenerator.

2ème cas : Un site pro avec de nombreuses pages piratées impossibles à détecter

Maria est propriétaire d’un site web professionnel qu’elle gère toute seule. Elle a reçu une notification dans son espace Google Webmaster Tools l’informant que son site a été hacké. Et le message lui donnait des exemples de pages ajoutées par des pirates.

Elle a alors demandé à son hébergeur (qui lui a fournit un hébergement avec un outil de création de site) de vérifier le code source de son site. Ce dernier n’a rien trouvé d’anormal. Cependant, lorsqu’elle visite l’une des pages données en exemple par Google, celle-ci ne s’affiche pas et renvoie un message d’erreur.

Maria a donc payé un service anti-virus en ligne pour scanner tout son site. Mais, ce service n’a à son tour pas trouvé de scripts malicieux sur le site.

Maria est donc revenue dans son Webmaster Tools pour utiliser l’outil “Explorer comme Google”. Un outil de diagnostic qui permet de simuler la manière dont Google explore ou affiche une URL de votre site.

L’outil “Explorer comme Google” ne lui a alors affiché aucun contenu. Et ne sachant plus quoi faire, elle a quand même envoyé une demande en réexamen à Google qui l’a rejetée en lui donnant quand même deux conseils à suivre :

  • 1. Vérifier la version sans-WWW de son site parce que les pirates ont tendance à cacher du contenu dans les répertoires qui ne sont pas toujours visités par les propriétaires de sites.

    Autant il peut sembler que http://exemple et http://WWW.exemple.com sont identiques, autant Google les traite comme étant deux sites totalement différents. Ainsi, http://exemple.com est enregistré comme le domaine racine alors que http://WWW.exemple.com est considéré par Google comme étant un sous-domaine.

    Ce qui suit est très important : Maria avait http:///WWW.exemple.com comme site vérifié dans son Google Webmaster Tools. Ce qui aurait une importance car les pages ajoutées par les pirates se trouveraient dans la version sans WWW de son site. Et donc dans ses pages web commençant par http://exemple.com/…/.

    Effectivement après vérification de ses pages sans le WWW, elle a pu découvrir tous les contenus ajoutés à son insu et les a tous supprimés avant d’envoyer une nouvelle demande en réexamen à Google qui l’acceptée avant de lever sa pénalité.

  • 2 . Vérifier les commandes du fichier .htaccess.

    Maria qui ne sait pas grand-chose et gère toute seule son site avait aussi demandé à son hébergeur de site comment accéder à son fichier .htaccess.

    C’est alors qu’elle découvre que son fichier .htaccess (voir ci-dessous) avait d’étranges contenus qu’elle n’avait pas ajoutés :

    RewriteEngine On RewriteCond %{HTTP_USER_AGENT} (google||msn|aol|) [OR] RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing) RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]

    La commande mod_rewrite visible ci-dessus n’avait pas été ajoutée par Maria, mais par le hacker et redirigeait tous les utilisateurs provenant de certains moteurs de recherche, tout comme les robots des moteurs de recherche, vers la page “main.php” qui va générer et afficher tous les contenus piratés.

    Il est aussi fort possible que ces commandes redirigent les utilisateurs visitant le site via leur mobile.

    Maria a aussi découvert le même jour un virus récent dans son fichier “main.php”. Et ce n’est pas fini.

    Elle a donc supprimé le fichier “main.php” ainsi que l’utilisateur inconnu de son accès FTP et son site n’a plus jamais été piraté.

Ce que recommande Google pour ne plus être piraté par FTP

  • Vérifiez les autorisations sur les fichiers sensibles comme le fichier .htaccess.

Même si le risque zéro n’existe pas, vous avez quand même maintenant de quoi compliquer la tâche à ceux qui voudraient pirater votre site web.