Retour au blog
Piratage Mots-Cles Japonais : Guide de Nettoyage
SEO

Piratage Mots-Cles Japonais : Guide de Nettoyage

Bastien Allain11 mars 202615 min de lecture
wordpresspiratageseo-spamjapanese-hacksecurite

Vous tapez site:votredomaine.com dans Google et vous decouvrez des centaines de pages en japonais que vous n'avez jamais creees. Les titres contiennent des caracteres incomprehensibles, les descriptions parlent de produits de contrefacon, et votre trafic organique s'effondre. Vous etes victime du piratage par mots-cles japonais, l'une des attaques SEO spam les plus repandues sur WordPress.

Nettoyer un piratage par mots-cles japonais sur WordPress (7 etapes)
  1. 1

    Mettre le site en maintenance et sauvegarderBloquez l'acces public et faites une sauvegarde complete des fichiers et de la base de donnees.

  2. 2

    Changer tous les mots de passeRenouvelez les mots de passe WordPress, FTP, cPanel, BDD et les cles de securite wp-config.php.

  3. 3

    Nettoyer le fichier .htaccessRemplacez le .htaccess par la version standard WordPress pour supprimer les regles de cloaking.

  4. 4

    Supprimer les fichiers PHP malveillantsRecherchez et supprimez les fichiers PHP suspects dans wp-content/uploads et les backdoors.

  5. 5

    Reinstaller le coeur WordPress, themes et pluginsTelechargez des copies fraiches de WordPress core, de vos themes et plugins depuis les sources officielles.

  6. 6

    Nettoyer la base de donneesSupprimez les pages spam, les utilisateurs inconnus et les taches cron malveillantes via phpMyAdmin.

  7. 7

    Configurer les reponses 410 et demander la reindexationRetournez un code 410 sur les URLs spam et soumettez un nouveau sitemap dans Search Console.

Qu'est-ce que le Japanese Keyword Hack ?

Comprendre le Phenomene

Le piratage par mots-cles japonais (Japanese Keyword Hack ou Japanese SEO Spam) est une technique de piratage ou l'attaquant injecte des milliers de pages en japonais dans votre site WordPress. Ces pages sont generees automatiquement et contiennent des liens vers des sites de vente de produits de contrefacon : sacs a main de luxe, montres, vetements de marque.

L'objectif du pirate n'est pas de detruire votre site. C'est d'exploiter votre autorite de domaine pour positionner ses pages spam dans les resultats de recherche Google. Votre site devient un outil de referencement au service du pirate.

Pourquoi les Pirates Ciblent WordPress

WordPress propulse plus de 43 % des sites web mondiaux. Cette popularite massive en fait une cible privilegiee :

  • Plugins vulnerables : une seule faille dans un plugin installe sur des millions de sites ouvre un vecteur d'attaque massif.
  • Mises a jour negligees : les sites non mis a jour exposent des vulnerabilites connues et documentees.
  • Identifiants faibles : les attaques par force brute sur /wp-login.php exploitent les mots de passe previsibles.
  • Hebergement mutualise : un site compromis sur un serveur partage peut permettre l'acces aux sites voisins.

Pour connaitre les autres formes de malwares WordPress, consultez notre guide des malwares WordPress courants.

Comment Fonctionne le Piratage Techniquement

Le Mecanisme d'Injection

Le pirate exploite une vulnerabilite (plugin, theme, identifiants) pour acceder a votre site. Une fois a l'interieur, il deploie un script PHP malveillant qui :

  1. Cree des pages fantomes : des milliers de pages sont generees dans votre base de donnees ou sous forme de fichiers PHP dans des repertoires caches.
  2. Modifie le sitemap.xml : le pirate genere un sitemap contenant toutes les URLs des pages spam pour accelerer leur indexation par Google.
  3. Injecte des liens dans les pages existantes de votre site pour transferer de l'autorite vers les pages spam.
  4. Installe une backdoor : un fichier PHP cache qui permet au pirate de revenir meme apres un nettoyage partiel.

Le Cloaking : La Technique de Dissimulation

Le cloaking est la raison pour laquelle vous ne voyez pas les pages spam en visitant votre site normalement. Le script malveillant detecte qui visite la page :

  • Si c'est Googlebot (le robot de Google) : le script affiche le contenu spam en japonais.
  • Si c'est un visiteur humain : le script affiche votre page normale ou redirige vers le site du pirate.
  • Si c'est l'administrateur connecte : le script se cache completement.

C'est pourquoi de nombreux proprietaires de sites ne detectent le probleme que des semaines ou des mois apres l'infection, quand Google commence a indexer les pages spam et que le trafic organique chute.

La Manipulation du Sitemap

Le pirate cree souvent un ou plusieurs fichiers sitemap supplementaires :

/sitemap-ja-1.xml
/sitemap-ja-2.xml
/wp-content/uploads/sitemap.xml

Ces sitemaps contiennent les URLs des pages spam et sont soumis a Google via la Search Console (si le pirate a reussi a se verifier comme proprietaire) ou simplement lies depuis le robots.txt modifie.

L'Ajout de Proprietaires dans Google Search Console

Un pirate sophistique ajoute son propre compte comme proprietaire verifie dans Google Search Console. Il peut ainsi :

  • Soumettre des sitemaps contenant les pages spam.
  • Voir les performances de ses pages spam.
  • Empecher la suppression des URLs si vous ne le detectez pas.

Comment Detecter l'Infection

Methode 1 : L'Operateur site: dans Google

La methode la plus rapide pour verifier si votre site est infecte :

site:votredomaine.com

Si vous voyez des resultats avec des titres en caracteres japonais ou des descriptions contenant des termes comme des noms de marques de luxe en japonais, votre site est compromis par un malware de type SEO spam.

Vous pouvez affiner la recherche :

site:votredomaine.com intitle:japanese_characters

Remplacez japanese_characters par des termes specifiques si vous en avez repere dans les resultats.

Methode 2 : Google Search Console

Connectez-vous a Google Search Console et verifiez :

  1. Problemes de securite : Search Console affiche generalement un avertissement "Piratage detecte", "Contenu pirate", "Contenu injecte" ou "Redirections malveillantes".
  2. Pages indexees : dans le rapport de couverture, cherchez une augmentation soudaine du nombre de pages indexees.
  3. Performances : verifiez si des requetes en japonais apparaissent dans le rapport de performances.
  4. Proprietaires verifies : dans les parametres de la propriete, verifiez qu'aucun proprietaire inconnu n'a ete ajoute. Supprimez immediatement tout compte que vous ne reconnaissez pas.
  5. Sitemaps : verifiez les sitemaps soumis. Supprimez tout sitemap que vous n'avez pas cree.

Methode 3 : Inspection des Fichiers du Serveur

Connectez-vous a votre serveur via FTP ou SSH et cherchez :

  • Fichiers recemment modifies dans des repertoires ou ils ne devraient pas etre :
find /var/www/html -name "*.php" -mtime -30 -type f
  • Fichiers suspects dans /wp-content/uploads/ (ce repertoire ne devrait contenir que des images et documents, pas de fichiers PHP).
  • Le fichier .htaccess a la racine : verifiez s'il contient des regles de redirection ou de cloaking inhabituelles.

Methode 4 : Analyse des Logs du Serveur

Les logs d'acces peuvent reveler des connexions suspectes :

grep "POST /wp-login.php" /var/log/apache2/access.log | tail -100

Cherchez des tentatives de connexion massives (brute force) ou des requetes POST vers des fichiers PHP inhabituels dans /wp-content/uploads/.

Guide de Nettoyage Etape par Etape

Etape 1 : Mesures de Securite Immediates

Avant de nettoyer quoi que ce soit, securisez l'acces :

  1. Mettez votre site en maintenance pour empecher les visiteurs d'acceder au contenu infecte.
  2. Realisez une sauvegarde complete (fichiers + base de donnees). Meme si le site est infecte, cette sauvegarde sera utile pour comparaison.
  3. Changez tous les mots de passe :
    • Administrateurs WordPress (tous les comptes).
    • Acces FTP/SFTP.
    • Acces cPanel ou panneau d'hebergement.
    • Base de donnees MySQL.
    • Cles de securite WordPress dans wp-config.php.

Pour changer les cles de securite, remplacez les valeurs dans wp-config.php par de nouvelles cles generees sur api.wordpress.org/secret-key :

define('AUTH_KEY',         'nouvelle-cle-unique');
define('SECURE_AUTH_KEY',  'nouvelle-cle-unique');
define('LOGGED_IN_KEY',    'nouvelle-cle-unique');
define('NONCE_KEY',        'nouvelle-cle-unique');
define('AUTH_SALT',        'nouvelle-cle-unique');
define('SECURE_AUTH_SALT', 'nouvelle-cle-unique');
define('LOGGED_IN_SALT',   'nouvelle-cle-unique');
define('NONCE_SALT',       'nouvelle-cle-unique');

Etape 2 : Nettoyer le Fichier .htaccess

Le fichier .htaccess est souvent modifie pour implementer le cloaking. Voici a quoi ressemble un .htaccess WordPress propre :

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Si votre .htaccess contient des regles supplementaires que vous ne reconnaissez pas (notamment des conditions basees sur le User-Agent de Googlebot), remplacez-le entierement par la version propre ci-dessus.

Verifiez egalement la presence de fichiers .htaccess supplementaires dans les sous-repertoires (/wp-content/, /wp-includes/, etc.).

Etape 3 : Supprimer les Fichiers PHP Malveillants

Cherchez et supprimez les fichiers PHP suspects :

# Chercher les fichiers PHP dans le repertoire uploads
find /var/www/html/wp-content/uploads/ -name "*.php" -type f
 
# Chercher les fichiers avec des noms suspects
find /var/www/html -name "*.php" -type f | xargs grep -l "eval(base64_decode"
find /var/www/html -name "*.php" -type f | xargs grep -l "eval(gzinflate"

Les fichiers malveillants sont souvent caches avec des noms anodins comme wp-config-backup.php, class-wp-cache.php, ou des noms aleatoires comme xkdf8s.php.

Emplacements frequents des backdoors :

  • /wp-content/uploads/ (fichiers PHP qui ne devraient pas s'y trouver).
  • /wp-includes/ (fichiers qui ne font pas partie du core WordPress).
  • /wp-content/themes/ (dans des themes inactifs).
  • /wp-content/plugins/ (dans des plugins desactives ou des dossiers suspects).
  • A la racine du site (fichiers PHP inconnus).

Etape 4 : Reinstaller le Coeur de WordPress

Telechargez une copie fraiche de WordPress depuis wordpress.org et remplacez :

  • Le dossier /wp-admin/ entier.
  • Le dossier /wp-includes/ entier.
  • Les fichiers PHP a la racine (sauf wp-config.php que vous avez deja nettoye).

Ne touchez pas au dossier /wp-content/ a cette etape (il contient vos themes, plugins et medias).

Etape 5 : Reinstaller Themes et Plugins

  1. Notez la liste de vos themes et plugins actifs.
  2. Supprimez completement les dossiers de tous les themes et plugins.
  3. Retelelechargez-les depuis le repertoire officiel WordPress.org ou depuis le site de l'editeur pour les versions premium.
  4. N'utilisez jamais de themes ou plugins "nulled" (pirates) : ils contiennent souvent des backdoors.

Etape 6 : Nettoyer la Base de Donnees

Connectez-vous a phpMyAdmin ou utilisez WP-CLI pour :

Supprimer les utilisateurs inconnus :

SELECT * FROM wp_users WHERE user_login NOT IN ('votre_login', 'autre_admin_legitime');

Supprimez tout utilisateur que vous ne reconnaissez pas.

Chercher les pages spam :

SELECT ID, post_title, post_date FROM wp_posts
WHERE post_title LIKE '%japanese_characters%'
OR post_content LIKE '%japanese_characters%'
ORDER BY post_date DESC;

Verifier les options suspectes :

SELECT * FROM wp_options WHERE option_name LIKE '%sitemap%';
SELECT * FROM wp_options WHERE option_value LIKE '%eval%';
SELECT * FROM wp_options WHERE option_value LIKE '%base64%';

Nettoyer les taches cron malveillantes :

SELECT * FROM wp_options WHERE option_name = 'cron';

Les pirates ajoutent souvent des taches planifiees qui regenerent le malware meme apres nettoyage.

Etape 7 : Verifier wp-config.php

Ouvrez wp-config.php et verifiez :

  • Qu'il ne contient pas de code eval(), base64_decode(), ou d'inclusion de fichiers externes.
  • Que les identifiants de base de donnees sont corrects.
  • Que les cles de securite ont bien ete changees (etape 1).
  • Qu'il n'y a pas de code PHP avant le tag <?php d'ouverture ou apres la derniere ligne.

Recuperation SEO Apres le Nettoyage

Le nettoyage technique n'est que la moitie du travail. Il faut maintenant recuperer votre referencement.

Configurer les Reponses 410 Gone

Les URLs des pages spam doivent retourner un code HTTP 410 (Gone) plutot qu'un 404. Le code 410 indique a Google que la page a ete definitivement supprimee et accelere la desindexation.

Ajoutez dans votre .htaccess :

# Pages spam japonaises - reponse 410
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^spam-url-pattern - [G]
</IfModule>

Ou utilisez un plugin de redirection pour configurer les reponses 410 en masse.

Utiliser l'Outil de Suppression d'URL

Dans Google Search Console :

  1. Allez dans Suppressions > Nouvelles demandes.
  2. Soumettez les URLs des pages spam une par une, ou utilisez un prefixe si les URLs partagent un pattern commun.
  3. Ces suppressions sont temporaires (6 mois). Le code 410 assure la suppression permanente.

Soumettre un Nouveau Sitemap

  1. Supprimez tous les sitemaps soumis dans Google Search Console.
  2. Generez un nouveau sitemap propre avec votre plugin SEO (Yoast, Rank Math, etc.).
  3. Soumettez le nouveau sitemap dans Google Search Console.
  4. Verifiez que le sitemap ne contient que vos pages legitimes.

Demander un Examen de Securite

Si Google a signale votre site avec un avertissement de securite :

  1. Dans Google Search Console, allez dans Problemes de securite.
  2. Cochez "J'ai resolu ces problemes".
  3. Cliquez sur Demander un examen.
  4. Google examine votre site dans un delai de quelques jours a quelques semaines.

Patience requise : la suppression complete des pages spam de l'index Google peut prendre plusieurs semaines a plusieurs mois. C'est normal. Continuez a publier du contenu de qualite et a soumettre votre sitemap pour accelerer le processus.

Prevention : Empecher le Retour du Piratage

Mises a Jour Systematiques

  • Mettez a jour WordPress, les plugins et les themes des qu'une nouvelle version est disponible. Consultez notre guide de maintenance WordPress pour un plan de mises a jour complet.
  • Activez les mises a jour automatiques pour les correctifs de securite.
  • Supprimez les themes et plugins inactifs : un plugin desactive mais present sur le serveur reste un vecteur d'attaque.

Plugin de Securite

Installez un plugin de securite comme Wordfence ou Sucuri Security :

  • Pare-feu applicatif (WAF) pour bloquer les requetes malveillantes.
  • Scan regulier des fichiers pour detecter les modifications suspectes.
  • Alerte en cas de connexion suspecte.
  • Limitation des tentatives de connexion.

Consultez notre guide complet de securite WordPress et notre service de securite WordPress pour une protection renforcee.

Renforcement des Acces

  • Mots de passe forts : minimum 16 caracteres, generes aleatoirement.
  • Authentification a deux facteurs (2FA) sur tous les comptes administrateurs.
  • Limitation des tentatives de connexion : bloquez les adresses IP apres 5 tentatives echouees.
  • Modification de l'URL de connexion : changez /wp-login.php pour une URL personnalisee.
  • Desactivation de XML-RPC si vous ne l'utilisez pas.

Monitoring Continu

  • Configurez des alertes Google Search Console pour etre notifie en cas de probleme de securite.
  • Verifiez regulierement les utilisateurs WordPress : aucun compte inconnu ne doit apparaitre.
  • Mettez en place un scan de securite automatique (quotidien ou hebdomadaire).
  • Surveillez les fichiers critiques (.htaccess, wp-config.php, index.php) pour detecter toute modification.

Si vous preferez confier cette surveillance a des professionnels, decouvrez notre service de suppression de malwares WordPress.

Spam Japonais vs Spam Chinois : Quelle Difference ?

Le Japanese Keyword Hack et le Chinese Keyword Spam utilisent des techniques similaires mais avec quelques differences :

AspectSpam JaponaisSpam Chinois
LangueJaponais (caracteres Kanji, Hiragana, Katakana)Chinois simplifie (caracteres Hanzi)
Produits promusContrefacons de luxe (sacs, montres, vetements)Produits varies (electronique, medicaments, jeux)
TechniqueCloaking avance + sitemapsInjection dans les pages existantes + cloaking
DetectionPages fantomes dans l'index GoogleLiens et contenu injectes dans les pages existantes
NettoyageSimilaire (fichiers + base de donnees + sitemaps)Similaire (fichiers + base de donnees)

Les deux types d'attaques exploitent les memes vulnerabilites et se nettoient de la meme maniere. La principale difference est cosmetique : la langue et les produits promus.

Pour comprendre les autres signes d'un site pirate, consultez notre guide des signes que votre site WordPress est pirate.

FAQ : Questions Frequentes

Pourquoi mon site WordPress affiche-t-il des pages en japonais dans Google ?

Votre site est victime du Japanese Keyword Hack. Un pirate a exploite une vulnerabilite (plugin non mis a jour, mot de passe faible, theme vulnerable) pour injecter des milliers de pages spam en japonais. Ces pages utilisent le cloaking pour se cacher de vous mais s'afficher pour Googlebot, ce qui explique que vous ne les voyez que dans les resultats de recherche.

Est-ce que la reinstallation de WordPress supprime le hack ?

Partiellement. Reinstaller le core WordPress (dossiers /wp-admin/ et /wp-includes/) supprime le malware present dans ces fichiers. Mais les backdoors dans /wp-content/uploads/, les injections en base de donnees et les sitemaps malveillants ne sont pas supprimes. Un nettoyage complet des fichiers ET de la base de donnees est necessaire.

Combien de temps faut-il a Google pour supprimer les pages spam de l'index ?

Apres un nettoyage complet et une demande d'examen dans Google Search Console, Google commence generalement a supprimer les pages dans les 2 a 4 semaines. Cependant, pour un site avec des milliers de pages spam, la desindexation complete peut prendre 2 a 3 mois. Les reponses 410 Gone et l'outil de suppression d'URL accelerent le processus.

Mon site peut-il etre reinfecte apres le nettoyage ?

Oui, si la vulnerabilite d'origine n'est pas corrigee. Le nettoyage supprime le malware, mais si le plugin vulnerable n'est pas mis a jour, si les mots de passe ne sont pas changes, ou si une backdoor a ete oubliee, le pirate peut revenir. C'est pourquoi les mesures de prevention (mises a jour, plugin de securite, 2FA) sont essentielles.

Comment savoir si mon site est completement nettoye ?

Plusieurs verifications a effectuer :

  • site:votredomaine.com dans Google ne montre plus de pages en japonais.
  • Google Search Console ne signale plus de problemes de securite.
  • Un scan de securite (Wordfence, Sucuri SiteCheck) ne detecte rien.
  • Les fichiers du serveur ne contiennent plus de code malveillant.
  • Aucun utilisateur inconnu n'est present dans WordPress.
  • Le sitemap ne contient que vos pages legitimes.

Le piratage affecte-t-il mon classement SEO a long terme ?

A court terme, votre trafic organique va baisser significativement (certains sites perdent 80 a 90 % de leur trafic). Apres un nettoyage complet et la desindexation des pages spam, le trafic revient progressivement en 1 a 3 mois dans la plupart des cas. Les sites qui reagissent rapidement et qui etaient en bonne sante SEO avant le piratage recuperent generalement leur positionnement d'origine.

Articles similaires