Type de piratage : Injection d'URL

Quelle est la signification des pages signalées par le type de piratage de site "Injection d'URL" dans Search Console ?

Cela signifie qu'un pirate informatique a créé de nouvelles pages sur votre site, qui contiennent souvent des mots ou des liens contenant du spam. Ces nouvelles pages contiennent parfois du code qui effectue des actions indésirables, tel que rediriger vos internautes vers d'autres sites ou faire participer votre serveur Web à des attaques de type refus de service contre d'autres sites.

En règle générale, les pirates informatiques modifient votre site de l'une des manières suivantes :

  • En accédant à un répertoire non sécurisé sur votre serveur. Par exemple, il se peut que vous ayez un répertoire dont les autorisations sont ouvertes.
  • En exploitant une faille dans le logiciel en cours d'exécution sur votre site, tel qu'un système de gestion de contenu. Par exemple, il se peut qu'une version plus ancienne et non sécurisée de WordPress s'exécute sur votre site.
  • Par le piratage des plug-in tiers que vous utilisez sur votre site, tels que des compteurs de visiteurs.

Pour en savoir plus sur les sites piratés par du spam, consultez l'étape 5 : Évaluer les dommages (spam) de l'aide au processus de récupération des sites piratés.

Comment puis-je confirmer qu'un pirate informatique a ajouté des pages contenant du spam à mon site ?

Commencez votre examen par les exemples d'URL figurant dans le message que vous avez reçu ou dans la liste de la page "Problèmes de sécurité" de Search Console.  Prenez des notes détaillées sur ce que vous trouvez pour chaque URL.

Pour confirmer que de nouvelles pages ont été ajoutées à votre site, vous pouvez utiliser les méthodes suivantes, même si votre site est hors ligne :

  • Vous pouvez également utiliser une recherche Google "site:" telle que [site:example.com] (remarque : il ne doit pas y avoir d'espace entre l'opérateur "site:" et votre nom de domaine). Cette requête limitée à votre site n'affiche que les pages de ce dernier que nous avons indexées. Vous pouvez ainsi vérifier si d'autres pages qui ne sont pas de votre fait s'affichent. Pour les sites importants, vous pouvez utiliser une requête plus spécifique, telle que [site:example.com pharmacy], [site:example.com/wp-admin/] ou [site:example.com inurl:hacked.php].
  • Vous pouvez vous connecter à votre serveur à l'aide d'un accès à l'interface ou au terminal et ne rechercher que l'existence des exemples fournis dans la section concernant le type "Injection d'URL" de la page "Problèmes de sécurité".

N'utilisez pas de navigateur pour consulter le contenu des nouvelles pages. Elles peuvent contenir des logiciels malveillants, qui se répandent souvent en exploitant les failles des navigateurs. L'ouverture d'une telle page dans un navigateur peut endommager votre ordinateur. Même si aucun logiciel malveillant n'est présent dans ces pages, ce qui s'affiche dans un navigateur ne correspond pas forcément à ce que nous et/ou les internautes pouvons voir, car les pirates informatiques peuvent dissimuler les pages contenant du spam à l'aide de techniques de dissimulation (cloaking).Il se peut que la page ne s'affiche pas ou qu'elle ne puisse pas être trouvée par le navigateur (renvoi de la réponse HTTP 404). Des informations supplémentaires sur les techniques de dissimulation figurent dans la vidéo relative à l'étape 5 : Évaluer les dommages (spam) de l'aide au processus de récupération des sites piratés.

Plutôt que d'utiliser le navigateur, vous pouvez confirmer que des pages contenant du spam ont été ajoutées à votre site en utilisant l'une des méthodes suivantes :

  • Use “Fetch as Google” in Webmaster Tools:
    Google’s free Search Console provides a feature called “Fetch as Google” that you can use to see a page on your site as Google machines see it. This is useful since many hackers make changes that are visible only to Google machines. For example, they might add links to their site from yours that are only rendered when the referrer is Google.
  • Use cURL or Wget to fetch a page:
    These freely available tools let you view the source of the page as seen by a search engine, and have the flexibility to include referrer or user-agent information. By serving spammy content only to users with specific user-agents or referrers, the hacker can target more "real people" and can better avoid detection from site owners and anti-hacking algorithms used by search engines. (Your site will need to be online to use these tools.) For example:
    $curl -v --referer "http://www.google.com/search?q=page" --user-agent "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Vous pouvez consulter le contenu de la page suspecte nouvellement ajoutée dans les résultats de la fonctionnalité "Explorer comme Google" ou des commandes Wget ou cURL.

Comment puis-je supprimer le type de piratage "Injection d'URL" de mon site ?

Lorsque vous êtes prêt à nettoyer votre site (étape 7 de l'aide au processus de récupération des sites piratés), vous pouvez soit remplacer les répertoires affectés par la dernière sauvegarde non infectée, soit supprimer les pages indésirables, ainsi que tous les fichiers et les fonctions que le pirate informatique a utilisé pour les créer.

Sachez que supprimer les pages malveillantes ne permet pas de corriger la faille de sécurité qui a initialement permis au pirate informatique de pirater votre site. Si vous n'en corrigez pas la cause principale, votre site pourra à nouveau faire l'objet d'un piratage. Il peut être utile, par exemple, de mettre à jour les logiciels qui s'exécutent sur votre site, tels qu'un ancien WordPress. Pour en savoir plus sur le nettoyage de l'ensemble de votre site, et non uniquement sur ce type de piratage, consultez la section "Évaluation des dommages dans le système de fichiers" de l'étape 5 : Évaluer les dommages (spam) de l'aide au processus de récupération des sites piratés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?