Japanese keyword hack sur WordPress

Vous tapez le nom de votre site dans Google et vous tombez sur des titres en japonais, des descriptions remplies de caractères asiatiques, des pages que vous n’avez jamais créées. C’est le Japanese keyword hack, le nom que Google donne lui-même à cette attaque. Votre WordPress génère à votre insu des milliers de pages en japonais qui renvoient vers de fausses boutiques, et le pire, c’est que tout a l’air normal quand vous vous connectez à l’administration.

à quoi ressemble le japanese keyword hack

Le symptôme principal se voit dans les résultats de recherche, pas dans votre site. Quand vous faites site:votre-domaine.fr sur Google, vous voyez apparaître :

• des titres et des descriptions en japonais sous votre nom de domaine
• des centaines, parfois des milliers d’URL que vous ne reconnaissez pas (souvent du type /produit-12345.html ou des suites de chiffres)
• des pages qui mènent vers de fausses boutiques en ligne, du faux luxe ou des produits de contrefaçon

Dans la Search Console, le signe qui ne trompe pas, c’est un pic brutal du nombre de pages indexées. Vous passez de quelques dizaines à plusieurs milliers d’URL en quelques jours. Certains propriétaires remarquent aussi un ciblage international inattendu dans les rapports de performances : du trafic et des impressions venus du Japon alors que votre site est en français.

Le détail qui rend cette attaque déroutante : tout est invisible dans le tableau de bord WordPress. Vous ne verrez pas ces pages dans vos articles, ni dans vos pages, ni nulle part dans l’admin. C’est normal. Le code malveillant fait du cloaking : il sert les pages japonaises uniquement à Googlebot et aux moteurs de recherche, et montre votre vrai site à vous, le visiteur humain. C’est pour ça que vous pouvez être piraté pendant des semaines sans rien voir, jusqu’au jour où un client ou Google vous prévient.

c’est une injection de spam SEO, comme le spam casino

Le Japanese keyword hack est une variante d’une famille plus large : l’injection de spam SEO. Le pirate ne veut pas casser votre site, il veut utiliser sa réputation auprès de Google pour faire indexer ses propres pages spam. Le japonais est un cas particulier (souvent du faux e-commerce, des produits de marque contrefaits), mais le mécanisme est identique à la même logique côté spam casino, où ce sont des pages de paris et de jeux d’argent qui sont injectées.

Ne confondez pas les deux. Si vos pages parasites parlent de casino, slots ou paris, suivez plutôt le guide casino. Si elles sont en japonais et pointent vers des boutiques, vous êtes au bon endroit. Le nettoyage se ressemble, mais les fichiers et les emplacements ciblés diffèrent un peu.

où le code se cache

Une fois entré (le plus souvent par un plugin ou un thème vulnérable, ou un mot de passe admin faible), le pirate s’installe à plusieurs endroits pour survivre à un nettoyage partiel. Vous trouverez typiquement :

• des fichiers PHP injectés, soit complètement nouveaux, soit greffés en haut de fichiers légitimes comme index.php, wp-config.php ou des fichiers du thème
• des entrées ajoutées en base de données, notamment dans la table wp_options (une option au nom bizarre qui stocke la configuration du spam)
• un ou plusieurs faux sitemaps XML à la racine du site, que le pirate soumet à Google pour faire indexer ses pages plus vite
• un compte administrateur supplémentaire, créé pour garder un accès même si vous changez votre mot de passe
• une tâche planifiée via wp-cron qui régénère le spam automatiquement, ce qui explique pourquoi les pages reviennent quand on se contente de supprimer des fichiers

C’est ce dernier point qui piège la plupart des gens. Vous supprimez les fichiers, vous nettoyez la base, tout semble parti, et trois jours plus tard le spam est de retour. La tâche planifiée a fait son travail. Tant que vous ne l’avez pas désactivée, vous rejouez le problème en boucle.

comment confirmer le diagnostic

Avant de toucher à quoi que ce soit, prenez cinq minutes pour cadrer l’étendue.

Faites d’abord une recherche site:votre-domaine.fr dans Google. Faites défiler les résultats : repérez les URL japonaises, notez leur format. Ça vous dira combien de pages sont touchées et à quoi ressemblent les chemins d’accès.

Ensuite, ouvrez la Search Console. Dans Couverture / Pages, regardez la courbe des pages indexées et cherchez le moment où ça décolle. Ça vous donne la date approximative de l’infection, ce qui est précieux pour l’étape suivante. Si vous avez reçu une alerte de sécurité dans la Search Console (problème de sécurité, contenu piraté), elle vous indiquera souvent des exemples d’URL.

Enfin, côté serveur, listez les fichiers récemment modifiés. En SSH :

find . -type f -name "*.php" -mtime -30 -ls

Cette commande liste les fichiers PHP modifiés dans les 30 derniers jours. Croisez avec la date repérée dans la Search Console. Tout fichier modifié à cette période, que vous n’avez pas touché vous-même, est suspect.

comment nettoyer, étape par étape

L’ordre compte. Si vous nettoyez les fichiers avant de couper la tâche planifiée, le spam se régénère pendant que vous travaillez.

1. Sauvegardez d’abord tout le site, fichiers et base de données. Même infecté. Vous voulez pouvoir revenir en arrière si une suppression casse quelque chose.

2. Listez et supprimez les tâches planifiées malveillantes. Avec WP-CLI :

   wp cron event list

   Repérez les événements aux noms inconnus ou aléatoires, puis supprimez-les avec wp cron event delete <hook>. C’est l’étape qui empêche le spam de revenir.

3. Supprimez les fichiers injectés repérés à l’étape de diagnostic, ainsi que les faux sitemaps XML à la racine. Pour les fichiers légitimes infectés (code greffé en haut), ne supprimez pas le fichier : retirez seulement le bloc malveillant, ou mieux, remplacez le fichier par sa version d’origine.

4. Nettoyez la base de données. Vérifiez wp_options et cherchez les options au contenu suspect. Supprimez les entrées injectées. Si vous n’êtes pas sûr, ne supprimez que ce qui est clairement étranger à WordPress et à vos plugins.

5. Supprimez le compte admin pirate. Dans Utilisateurs, repérez tout administrateur que vous ne connaissez pas et supprimez-le. Changez aussi le mot de passe de votre vrai compte admin.

6. Réinstallez le core WordPress dans la version exacte pour écraser tout fichier système modifié que vous auriez manqué. Faites de même pour les plugins et le thème depuis des sources officielles.

7. Demandez la réindexation et nettoyez la Search Console. Une fois le site propre, utilisez l’outil de suppression d’URL de la Search Console pour retirer les pages spam, et soumettez votre vrai sitemap. Google retirera progressivement les pages japonaises au fil de ses prochains passages.

faq

Pourquoi je ne vois rien dans mon admin WordPress ? Parce que le piratage utilise le cloaking : les pages japonaises ne sont servies qu’aux moteurs de recherche. En tant que visiteur connecté, vous voyez votre site normal. La seule façon de voir le problème, c’est de regarder ce que Google indexe, via site:votre-domaine.fr ou la Search Console.

Les pages spam reviennent après nettoyage, pourquoi ? Vous avez supprimé les fichiers mais pas la tâche planifiée wp-cron qui les régénère, ou il reste un fichier backdoor caché qui réinjecte le code. Listez les événements cron, supprimez les inconnus, et cherchez tout fichier PHP modifié récemment ailleurs que dans vos dossiers habituels.

Est-ce que Google va pénaliser mon site ? Tant que le contenu piraté est indexé, oui, votre site peut afficher un avertissement de sécurité et perdre en visibilité. Une fois nettoyé, il faut demander un nouvel examen. C’est exactement le sujet de enlever l’avertissement de Google.

si vous voulez déléguer

Nettoyer un Japanese keyword hack à la main demande de l’aise en SSH, en base de données et avec WP-CLI. Si vous préférez ne pas y toucher, ou si le spam est déjà revenu une fois, regardez le guide complet quand WordPress est piraté, ou laissez-nous faire. WP-Detox scanne votre site gratuitement, fait une sauvegarde avant toute intervention, et nettoie l’infection en une trentaine de minutes en moyenne. Tout compris à 149 €, remboursé si on échoue à vous remettre d’aplomb.