Supprimer les articles spam casino sur WordPress

Des centaines de pages casino, paris ou pharmacie indexées sous votre nom dans Google, invisibles depuis votre back-office ? Voici comment les supprimer et empêcher leur retour.

Par WP-Detox 7 min de lecture

Vous tapez site:votre-domaine.fr dans Google et vous découvrez des centaines de pages casino, paris sportifs ou pharmacie en ligne indexées sous votre nom. Pourtant, votre tableau de bord WordPress semble normal : aucun de ces articles n’apparaît dans la liste de vos publications. C’est une attaque classique de SEO spam sur WordPress, et le fait que ces pages soient invisibles côté admin est exactement ce qui la rend difficile à nettoyer.

Ce qu’est le SEO spam (ou « pharma hack »)

Le SEO spam est une injection de contenu. Un attaquant exploite votre autorité de domaine pour faire indexer des milliers de pages frauduleuses : casinos, slots, paris, médicaments, contrefaçons. Il ne cherche pas à abîmer votre site, il l’utilise comme hébergeur gratuit avec un bon référencement déjà établi.

L’objectif est purement SEO : ces pages génèrent du trafic vers les vrais sites de l’attaquant et lui transmettent du « jus » de liens. Tant que le spam reste indexé, il rapporte. C’est pour ça qu’il revient sans relâche si vous ne traitez que les symptômes.

Le « pharma hack » est la variante médicaments (Viagra, Cialis, pharmacies illégales), mais le mécanisme est identique pour le casino.

Pourquoi ces pages sont invisibles dans votre back-office

C’est le point qui désoriente le plus. Vous ne voyez rien dans Articles ni dans Pages, mais Google en indexe des centaines. Plusieurs techniques expliquent ça :

  • Le cloaking. Le code injecté détecte qui visite la page. Aux robots de Google, il sert le contenu casino ; à vous (administrateur connecté ou visiteur normal), il sert votre vraie page. Le contenu spam existe, mais il ne s’affiche que pour Googlebot.
  • Des pages générées à la volée. Le spam n’est pas stocké comme un vrai article WordPress. Un fichier PHP malveillant fabrique les pages casino dynamiquement à chaque requête de Google, à partir d’une URL piégée. Elles n’ont donc aucune existence dans l’interface d’administration.
  • Des statuts d’article masqués. Parfois les articles existent bien en base mais avec un auteur, un type ou un statut manipulé pour ne pas remonter dans la liste standard du back-office.

Conclusion pratique : se fier à ce que montre le tableau de bord WordPress donne une fausse impression de propreté. Il faut mesurer l’ampleur depuis l’extérieur.

Mesurer l’ampleur réelle

Avant de supprimer quoi que ce soit, cartographiez l’infection.

  • Recherche site: dans Google : tapez site:votre-domaine.fr et parcourez les résultats. Affinez avec site:votre-domaine.fr casino ou site:votre-domaine.fr slot pour isoler le spam et compter approximativement les pages touchées.
  • La Search Console. Ouvrez le rapport Couverture / Indexation : un pic soudain de pages indexées est un signal fort. Vérifiez aussi la section Sécurité et actions manuelles > Problèmes de sécurité : Google y signale souvent « Contenu piraté » ou « Pages frauduleuses ».
  • Le sitemap. Inspectez votre sitemap (/sitemap.xml ou /sitemap_index.xml). Les attaquants créent fréquemment de faux sitemaps (/sitemap-casino.xml, /post-sitemap.xml gonflé, etc.) qu’ils soumettent à Google pour accélérer l’indexation du spam. Repérez tout fichier sitemap que vous n’avez pas généré.

Notez le volume et les URL types : ça vous servira pour la suppression puis la demande de désindexation.

Où le spam est stocké

Sur une attaque de SEO spam, le contenu se cache généralement à trois endroits :

  • La table wp_posts de la base de données. C’est l’emplacement le plus courant pour les faux articles et pages. Cherchez les entrées avec des titres ou contenus contenant casino, bet, slot, viagra, poker, ou des caractères inhabituels.
  • La table wp_options et les wp_postmeta, où peuvent se loger des morceaux de configuration malveillante, des injections dans le footer ou des en-têtes.
  • Des fichiers PHP injectés (souvent à la racine, dans wp-content/uploads/, ou déguisés en wp-xxxx.php) qui génèrent les pages dynamiquement et écrivent les faux sitemaps.

Le spam visible n’est que la partie émergée. Les fichiers PHP sont la mécanique, et c’est aussi là que se cache la porte d’entrée.

Supprimer les pages injectées proprement

Sauvegardez d’abord la base de données et les fichiers avant toute manipulation. Une suppression SQL est irréversible.

Si les pages sont visibles dans le back-office

C’est le cas le plus simple. Allez dans Articles ou Pages, filtrez, sélectionnez les publications frauduleuses et mettez-les à la corbeille, puis videz la corbeille. Vérifiez bien tous les statuts (brouillons, en attente, privés) et tous les auteurs.

Si elles sont invisibles (base de données / phpMyAdmin)

Connectez-vous à phpMyAdmin (ou Adminer) via votre hébergeur. Repérez d’abord l’étendue avec une requête de lecture :

SELECT ID, post_title, post_type, post_status
FROM wp_posts
WHERE post_title LIKE '%casino%'
   OR post_title LIKE '%slot%'
   OR post_content LIKE '%casino%'
   OR post_content LIKE '%betting%';

Vérifiez attentivement que les résultats sont bien du spam et non du contenu légitime, puis supprimez :

DELETE FROM wp_posts
WHERE post_title LIKE '%casino%'
   OR post_title LIKE '%slot%';

Attention : le préfixe wp_ peut être différent sur votre installation (par exemple wp_a1b2_). Adaptez les requêtes. Nettoyez ensuite les métadonnées orphelines liées aux ID supprimés dans wp_postmeta.

Supprimer les fichiers de sitemap et fichiers PHP pirates

Via FTP/SFTP ou le gestionnaire de fichiers de l’hébergeur :

  • supprimez tout fichier sitemap-*.xml que vous n’avez pas créé ;
  • inspectez la racine, wp-content/uploads/ et wp-content/ à la recherche de fichiers PHP récents ou aux noms suspects ;
  • si vous utilisez un plugin de sitemap (Yoast, Rank Math), régénérez le sitemap propre depuis ses réglages après nettoyage.

Demander à Google de désindexer et réexaminer

Une fois le site nettoyé, les pages spam restent dans l’index de Google quelques jours à quelques semaines. Pour accélérer :

  • dans la Search Console, utilisez l’outil de suppression d’URL pour masquer rapidement les pages frauduleuses les plus visibles ;
  • assurez-vous que les URL supprimées renvoient bien une erreur 404 ou 410 (Google les retirera naturellement au prochain crawl) ;
  • si Google avait signalé un problème de sécurité, corrigez tout, puis cliquez sur Demander un examen dans Problèmes de sécurité. Décrivez ce que vous avez nettoyé. La levée de l’alerte prend en général de un à plusieurs jours.

Pour le détail de la procédure de réexamen, voir notre guide pour enlever l’avertissement de Google.

Pourquoi le spam revient si vous oubliez la backdoor

C’est l’erreur la plus fréquente : on supprime les pages casino, on souffle, et trois jours plus tard elles sont de retour, parfois en plus grand nombre. La raison est simple : tant que la porte d’entrée (backdoor) est en place, l’attaquant réinjecte tout automatiquement.

La backdoor est un bout de code PHP qui permet de réécrire dans votre base et vos fichiers à distance. Elle se cache souvent dans un plugin obsolète, un thème, un fichier .php déguisé, ou une tâche cron WordPress. Supprimer le spam sans trouver la backdoor, c’est éponger une fuite sans fermer le robinet.

Le nettoyage complet exige donc d’identifier le point d’entrée, de purger tous les fichiers infectés, de changer les mots de passe (admin, base de données, FTP) et de mettre à jour le cœur, les thèmes et les plugins. Le même mécanisme de fond se retrouve quand votre site redirige vers un casino : la cause racine est identique, seul le symptôme change.

Prévention rapide

  • mettez à jour WordPress, thèmes et plugins sans attendre ;
  • supprimez les extensions et thèmes inactifs (surface d’attaque inutile) ;
  • changez les mots de passe et activez la double authentification sur les comptes admin ;
  • installez un plugin de sécurité avec scan régulier des fichiers et surveillez la Search Console.

FAQ

Pourquoi je ne vois pas les pages casino dans mon admin WordPress ? Parce qu’elles sont servies uniquement à Googlebot (cloaking) ou générées à la volée par un fichier PHP malveillant, sans exister comme vrais articles. Mesurez l’ampleur via site:votre-domaine.fr et la Search Console, pas via le back-office.

Supprimer les pages suffit-il à régler le problème ? Non. Si la backdoor reste en place, le spam revient en quelques jours. Il faut trouver et supprimer le code malveillant et la porte d’entrée, pas seulement les pages indexées.

Combien de temps avant que Google retire les pages spam ? De quelques jours à quelques semaines selon la fréquence de crawl. L’outil de suppression d’URL et des réponses 404/410 accélèrent le processus.

Si vous ne voulez pas manipuler vous-même phpMyAdmin et risquer de casser votre site, WP-Detox s’en charge. Notre scan gratuit mesure l’ampleur réelle du spam (y compris les pages invisibles côté admin), puis le nettoyage prend environ 30 minutes : suppression des pages injectées, des faux sitemaps et de la backdoor, avec une sauvegarde complète avant toute intervention. Tout compris à 149 €, remboursé si on échoue à nettoyer votre site. Pour comprendre la marche à suivre globale, voir aussi notre guide que faire quand WordPress est piraté.

À lire ensuite