Et ce afin de mieux gérer, nettoyer et réparer votre site web en cas de piratage.
Car, chaque jour, des milliers de sites web sont piratés afin d’y injecter des codes malicieux, d'y collecter des données personnelles ou de rediriger les utilisateurs ailleurs que sur le site de destination.
Les webmasters dont le site est infecté souhaitent évidemment vite le nettoyer mais, malheureusement, beaucoup ne savent pas par où commencer.
C’est pourquoi Google a mis en place une page de détection de problèmes de piratage, et un site d’assistance aux webmasters pour les sites piratés.
Pour aller plus loin dans son aide à la protection des sites avant et après piratage, Google a décidé de partager avec les webmasters deux cas étudiés et résolus grâce à l'Equipe des Webmaster Tools.
1er cas : Un site de restaurant avec de multiples scripts malicieux injectés
Un site de restaurant développé à partir de WordPress a reçu un message de la part de l’Equipe de Google Webmaster Tools l’informant que son site a été piraté.
Afin de protéger les utilisateurs de Google, ce site a été labellisé sur les pages de résultats de Google avec la mention “Il est possible que ce site ait été piraté”.
Entre temps, la responsable du site informée a analysé le code source de son site avant de s’apercevoir que celui-ci avait de nombreux liens avec des ancres utilisant le terme “viagra” et pointant vers des sites vendant des produits pharmaceutiques.
Elle a aussi constaté que les balises meta description de nombreuses pages avaient été modifiées avec l’ajout de texte tels que “achetez du Valtrex en Floride”.
Il figurait aussi dans de nombreuses pages des contenus masqués dans des balises div avec des liens sortants pointant vers de très nombreux sites inconnus par elle.
La propriétaire du site, Sam, a donc supprimé tous les contenus ajoutés à son insu et a envoyé une demande en réexamen à Google. Mais, cette demande à été rejetée par Google et sa pénalité manuelle n’a pas été levée.
Cependant, dans les justifications de ce rejet de demande en reconsidération, Google lui a quand même donné des conseils pour tenter de l’orienter vers des scripts non familiers intégrés dans des fichiers PHP et surtout de vérifier son fichier .Htaccess.
En effet, c’est dans ces fichiers que les pirates ont introduit des scripts pour présenter d’autres contenus autres que les siens aux moteurs de recherche. Des contenus qui ne sont pas ceux présentés aux utilisateurs (cloacking).
Sam a donc suivi les conseils de Google et s’est rendu compte que ses fichiers WordPress “footer.php”, “index.php” et “functions.php” étaient bourrés de scripts inconnus par elle. Après comparaison avec ses fichiers sauvegardés sur son ordinateur, elle a fait le nécessaire et a soumis une autre demande de réexamen à Google qui l’a acceptée et levé sa pénalité.
Suivant le cas de Sam, voici les recommandations de Google pour protéger à l’avenir un site créé avec un logiciel CMS :
- Les logiciels de création de site CMS (Content Management System) tels que WordPress, Joomla, Drupal et autres doivent être constamment mis à jour avec la dernière version.
- Assurez-vous que les plugins sont bien à jour aussi.
- Assurez-vous que le compte utilisé pour accéder à votre page d’Adminsitration et de gestion utilise un mot de passe unique et difficile à déchiffrer. Vous pouvez en créer de plus sécurisé depuis le site PasswordGenerator.
- Si le logiciel CMS le permet, activez la validation en deux étapes pour la connexion. Cela peut également être appelée authentification en deux temps ou deux étapes d'authentification. Ceci est aussi bien recommandé pour le compte utilisé pour la récupération du mot de passe en cas de perte.
- Veillez à ce que les plugins et les thèmes installés proviennent d'une source fiable. Les plugins ou thèmes piratés peuvent souvent contenir du code malicieux qui facilite l’accès à votre espace Admin aux pirates !
2ème cas : Un site pro avec de nombreuses pages piratées impossibles à détecter
Maria est propriétaire d’un site web professionnel qu’elle gère toute seule. Elle a reçu une notification dans son espace Google Webmaster Tools l’informant que son site a été hacké. Et le message lui donnait des exemples de pages ajoutées par des pirates.
Elle a alors demandé à son hébergeur (qui lui a fournit un hébergement avec un outil de création de site) de vérifier le code source de son site. Ce dernier n’a rien trouvé d’anormal. Cependant, lorsqu’elle visite l’une des pages données en exemple par Google, celle-ci ne s’affiche pas et renvoie un message d’erreur.
Maria a donc payé un service anti-virus en ligne pour scanner tout son site. Mais, ce service n’a à son tour pas trouvé de scripts malicieux sur le site.
Maria est donc revenue dans son Webmaster Tools pour utiliser l’outil “Explorer comme Google”. Un outil de diagnostic qui permet de simuler la manière dont Google explore ou affiche une URL de votre site.
L’outil “Explorer comme Google” ne lui a alors affiché aucun contenu. Et ne sachant plus quoi faire, elle a quand même envoyé une demande en réexamen à Google qui l’a rejetée en lui donnant quand même deux conseils à suivre :
- 1. Vérifier la version sans-WWW de son site parce que les pirates ont tendance à cacher du contenu dans les répertoires qui ne sont pas toujours visités par les propriétaires de sites.
Autant il peut sembler que http://exemple et http://WWW.exemple.com sont identiques, autant Google les traite comme étant deux sites totalement différents. Ainsi, http://exemple.com est enregistré comme le domaine racine alors que http://WWW.exemple.com est considéré par Google comme étant un sous-domaine.
Ce qui suit est très important : Maria avait http:///WWW.exemple.com comme site vérifié dans son Google Webmaster Tools. Ce qui aurait une importance car les pages ajoutées par les pirates se trouveraient dans la version sans WWW de son site. Et donc dans ses pages web commençant par http://exemple.com/.../.
Effectivement après vérification de ses pages sans le WWW, elle a pu découvrir tous les contenus ajoutés à son insu et les a tous supprimés avant d’envoyer une nouvelle demande en réexamen à Google qui l’acceptée avant de lever sa pénalité.
- 2 . Vérifier les commandes du fichier .htaccess.
Maria qui ne sait pas grand-chose et gère toute seule son site avait aussi demandé à son hébergeur de site comment accéder à son fichier .htaccess.
C’est alors qu’elle découvre que son fichier .htaccess (voir ci-dessous) avait d’étranges contenus qu’elle n’avait pas ajoutés :
RewriteEngine On RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR] RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing) RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
La commande mod_rewrite visible ci-dessus n’avait pas été ajoutée par Maria, mais par le hacker et redirigeait tous les utilisateurs provenant de certains moteurs de recherche, tout comme les robots des moteurs de recherche, vers la page “main.php” qui va générer et afficher tous les contenus piratés.
Il est aussi fort possible que ces commandes redirigent les utilisateurs visitant le site via leur mobile.
Maria a aussi découvert le même jour un virus récent dans son fichier “main.php”. Et ce n’est pas fini.
Maria a aussi remarqué qu’il y avait un utilisateur inconnu enregistré pour l'espace FTP de l’outil de création de son site fourni par son hébergeur.
Elle a donc supprimé le fichier “main.php” ainsi que l’utilisateur inconnu de son accès FTP et son site n’a plus jamais été piraté.
Ce que recommande Google pour ne plus être piraté par FTP
- Évitez d'utiliser FTP lorsque vous transférez des fichiers sur vos serveurs. Les logiciels FTP non sécurisés ne cryptent pas tout votre trafic de transfert de fichiers, y compris les mots de passe. Utilisez plutôt SFTP qui crypte tout, y compris votre mot de passe.
- Vérifiez les autorisations sur les fichiers sensibles comme le fichier .htaccess. Votre hébergeur peut être en mesure de vous aider si vous avez besoin d'aide. Le fichier .htaccess peut servir à améliorer et à protéger votre site, mais il peut également servir de fichier de piratage, et donc d'accès à votre site pour l'installation de scripts malveillants.
- Soyez vigilants et vérifiez de façon régulière qu’il n’y a pas de nouveaux utilisateurs inconnus dans votre panneau d'administration et dans tout autre endroit où il peut y avoir des utilisateurs qui peuvent modifier votre site.
Même si le risque zéro n’existe pas, vous avez quand même maintenant de quoi compliquer la tâche à ceux qui voudraient pirater votre site web.
