Failles et vulnérabilités du Web

Attention, le SEO motive les hackers

Blog Failles et vulnérabilités du Web Attention, le SEO motive les hackers
0 commentaire

Eh oui, les hackers ne s’attaquent pas à votre site uniquement pour le plaisir ! Google a confirmé que certains pirates sont motivés par les gains potentiels en référencement naturel. Une fois qu’un site WordPress est hacké, il est souvent très difficile de se débarrasser des pirates. Le site peu resté parasité par des mauvais liens ou du code malicieux pendant très longtemps. La raison est simple : les pirates SEO prennent beaucoup de précautions pour masquer leur travail sur votre site.

Pourquoi est-ce que les pirates font du SEO et les SEO du piratage ?

Le piratage à des fins SEO offre de nombreux avantages pour ceux qui le pratiquent. Bien sûr, tout ça, c’est sur le dos des propriétaires de site WordPress qui travaillent dur.

Google a déclaré récemment que le spam SEO est l’une des principales raisons pour lesquelles des sites Web se font pirater. Accueillir des parasites sur son site, ça coûte cher : entre les liens vers des sites spams, des contenus vraiment louches, vos visiteurs risquent de disparaître.

Il faut donc rester vigilant quand on a un site Web. Gardez un oeil attentif sur les commentaires de vos visiteurs. S’ils se plaignent de redirections étranges ou d’autres choses très bizarres qui se passent sur votre site, il est important de se poser des questions et de regarder ça de plus prêt. Vous disposez d’un autre moyen d’alerte au piratage via la Console de Google (Google Search Console). Ce service vous informe d’activités suspectes par email. Il y a plusieurs notifications automatiques si quelque chose de suspect est détecté par le moteur de recherche lors de ses explorations de votre site.

Du référencement naturel parasite

Attention : tous les expertw en référencement organique ne sont pas des pirates ! Il existe des Black Hat qui sont prêts à tout pour positionner des sites et des White Hat qui respectent les recommandations des moteurs de recherche. Bien entendu, de nombreux référenceurs sont quelque part entre les deux extrêmes, préférant utiliser des techniques que Google n’adore pas nécessairement mais ne sanctionne pas officiellement. Être 100% blanc signifie suivre à la lettre les recommandations de Google, même lorsqu’ils ne sont pas totalement transparents dans leurs conseils. La plupart des techniques de SEO black ne sont pas nécessairement fair-play mais peu sont aussi horribles que le piratage de site pour y injecter des liens ou des redirections malveillantes.

Manières communes de pirater le SEO d’un site WordPress

Vous n’avez peut être jamais entendu parler de Charles Float, mais cet expert SEO s’est fait remarqué après avoir hacké un site Web du gouvernement. Pourquoi ? Parce qu’en plus de se permettre de pirater un site Web du gouvernement, il a posté la vidéo de ses “exploits” sur YouTube. Cet expert en référencement recommandait dans ses articles des techniques d’injection de liens pour optimiser le référencement de sites Web.

Peu de gens réalisent qu’ils facilitent la vie des pirates des fois. En téléchargeant des thèmes WordPress nulled ou des plugins payants sur des sites qui les offrent gratuitement, vous invitez les hackers à la maison ! Essayez d’éviter de payer pour un plugin ou un thème premium peut finir par vous coûter gros. Revenons à Charles l’expert SEO, voici sa technique favorite détaillée dans son blog : l’injection de liens via des thèmes WordPress nulled. 

Il recommande un moyen d’obtenir «un paquet de liens gratuits» facilement en utilisant des thèmes WordPress premiums recherchés.

Il propose 2 façons de faire de l’acquisition de liens : des liens en bas de page via le fichier footer.php de la plupart des fichiers de modèles ou bien des liens sur la page d’accueil via le fichier index.php. Malheureusement, cette technique d’injection de liens est très simple à mettre en place. Il faut modifier les fichiers du thème pour inclure les liens que l’on souhaite ou bien insérer un script PHP qui permet de faire de l’insertion de liens dynamiques. Le thème ainsi modifié avec du code malveillant est ensuite offert sur un forum de partage de torrents ou de thèmes. Et voilà, piratage facile !

La prochaine fois que vous envisagez de télécharger un thème ou un plugin payant “gratuitement”, pensez-y à deux fois car les implications sont lourdes en termes de sécurité.

Quel impact a le piratage sur votre site Web ?

Votre référencement et votre réputation durement gagnée sont en jeu. En effet,  vous pourriez perdre vos acquis SEO si votre site est truffé de liens spammys. Le pire, c’est que des milliers de sites Web ont été piratés et que les propriétaires ne le savent même pas.

Quel est l’objectif des injections de liens ?

Le but est simple : il faut obtenir le plus de liens de bonne qualité vers un site pour améliorer son SEO. Habituellement, les sites de spam ont du mal à obtenir des liens légitimes. En piratant des sites de qualité, l’obtention de liens devient simple. Ce n’est pas éthique, mais ça fonctionne pour ceux ayant peu de scrupules.

Se faire pirater un site pour des raisons SEO va nuire à votre site Web

Une fois que les liens ou le script d’injection de liens sont en place sur un site, les moteurs de recherche deviennent méfiants des liens sortant du site. En conséquence, votre site Web pourrait être marqué comme malveillant par Google. Inutile de dire que cela peut tuer le trafic organique d’un site. De plus, le nettoyage est bien souvent un processus long et ardu. Les moteurs de recherche ont une mémoire relativement longue. En conséquence, il faudra du temps pour reconstruire la confiance qu’ils placent dans votre site Web et son contenu.

Comment pouvez-vous détecter le spam SEO sur votre site Web ?

Le spam SEO est assez sournois, car il n’est pas visible de premier abord. Vous pouvez le détecter de 4 façons :

  • Une baisse drastique de votre trafic organique affichant vos statistiques Google Analytics
  • Une notification de Google Search Console. Chaque propriétaire de site Web devrait s’inscrire à cet outil Google gratuit. Cette console permet de rester à jour sur tout ce que le moteur de recherche voit sur votre site Web.
  • En vérifiant qu’il n’y a pas d’irrégularité dans votre code source. Si vous voyez des liens vers des sites que vous ne connaissez pas, vous avez été piraté.
  • En écoutant les plaintes des clients. Habituellement, vos clients voient voir des choses que vous ne voyez pas. Faites attention aux les plaintes qui parlent de choses inhabituelles ou étranges sur votre site Web.

Application des concepts de sécurité : liste de tâches

Alors, comment pouvez-vous améliorer la sécurité de votre site ? WordPress offre quelques consignes :

  • Limitez l’accès : limitez le nombre de personnes qui ont des droits d’administration sur votre WordPress.
  • Favorisez l’isolation fonctionnelle : réduisez au minimum les dommages qui peuvent être causés si votre site Web est compromis. Évitez de stocker un grand nombre d’applications Web sur un seul compte d’hébergement.
  • Sauvegardez : maintenez des sauvegardes fiables pour pouvoir restaurer votre site web s’il est compromis.
  • Restez à jour : gardez votre installation WordPress à jour. Cela inclut : le CMS, les plugins et les thèmes sur votre site Web.
  • Sources réputées : obtenez vos thèmes et plugins à partir de sites Web fiables. Les plugins et les thèmes nulled ont une tendance désagréable à venir avec les logiciels malveillants.
  • Mises à jour et nouvelles de sécurité : restez au courant des vulnérabilités grâce aux bases de données maintenues par des équipes comme WPVulnDB.com. Vous pouvez également rester en avance sur les dernières tendances de sécurité via le site de WordPress.

Ressources de cet article:

https://www.seroundtable.com/google-seo-reason-sites-hack-target-23223.html

http://siteolytics.com/black-hat-seo-technique-demystified/

https://codex.wordpress.org/Hardening_WordPress

0 commentaire