Études de cas : Remédier au piratage d'un site

lundi 23 mars 2015

(Note : cet article est une traduction d'un post sur le blog anglais datant du 18 février 2015)


Chaque jour, des milliers de sites Web sont piratés. Ces sites peuvent alors nuire aux internautes en diffusant des logiciels malveillants, en récupérant leurs données personnelles ou en les redirigeant vers des sites qu'ils n'avaient pas l'intention de consulter. Les webmasters souhaitent régler au plus vite les problèmes de piratage, mais malheureusement, le processus est souvent compliqué.


Nous essayons de simplifier ce processus en proposant aux utilisateurs la section Problèmes de sécurité dans les Webmaster Tools, l' assistance aux webmasters pour les sites piratés, et nous mettons à leur disposition la rubrique de notre forum consacrée aux sites piratés . Récemment, nous avons demandé à deux webmasters de sites piratés comment ils avaient réussi à résoudre leur problème. Nous diffusons leurs témoignages en espérant qu'ils pourront donner des idées à d'autres webmasters victimes de piratage. Ces témoignages, ainsi que tous les commentaires que nous recevons nous permettent également d'améliorer notre documentation relative aux sites piratés et de simplifier le processus pour tous à l'avenir.




Étude de cas nº 1 : site Web d'un restaurant victime de l'injection de nombreux scripts

Le webmaster d'un site de restauration créé à l'aide de WordPress a reçu un message de notre part sur son compte Webmaster Tools, l'alertant que son site avait été piraté. Pour protéger les internautes, nous indiquons que le site Web a été piraté dans nos résultats de recherche. Le webmaster du site, Sam, a examiné le code source et a remarqué de nombreux liens inconnus avec des termes pharmaceutiques tels que "viagra" et "cialis". Elle a également constaté que sur de nombreuses pages, les balises de meta description situées dans le code HTML comportaient du contenu de type "buy valtrex in florida". Des balises div cachées dans le code HTML de nombreuses pages redirigeaient également vers divers sites. Aucun de ces liens n'avait été ajouté par Sam.


Elle a supprimé tout le contenu piraté qu'elle a identifié, puis elle a envoyé une demande de réexamen. Cette dernière a été rejetée, mais nous lui avons conseillé d'examiner tous les scripts inconnus dans ses fichiers PHP (ou d'autres fichiers du serveur), et de vérifier si le fichier .htaccess avait été modifié. Ces fichiers comportent souvent des scripts ajoutés par des pirates informatiques et destinés à modifier le site. En général, le contenu piraté par ces scripts n'est visible que pour les moteurs de recherche, et il est masqué pour les internautes classiques. Sam a vérifié tous les fichiers .php et les a comparés à ses copies de sauvegarde non infectées. Elle a découvert un nouveau contenu dans les fichiers footer.php, index.php et functions.php. Elle a alors remplacé ces fichiers par les sauvegardes non infectées, éliminant ainsi les restes de contenu piraté sur son site. Lorsqu'elle a envoyé une nouvelle demande de réexamen, nous avons confirmé que son site n'était plus infecté.


Même si Sam a réussi à supprimer le contenu piraté, il est important qu'elle sécurise son site en cas de nouvelle attaque. Pour protéger son site contre de futures attaques, les consignes ci-dessous sont un bon rappel :


  • Toujours utiliser la dernière version du système de gestion de contenu (CMS - WordPress, Joomla, Drupal, etc.). S'assurer également que les plug-ins sont à jour.
  • Utiliser un mot de passe unique et complexe pour protéger le compte qui permet d'accéder aux fonctionnalités d'administration du système de gestion de contenu.
  • Si le système de gestion de contenu le permet, activer la validation en deux étapes pour la connexion. Elle peut également s'appeler "authentification à deux niveaux" ou "authentification en deux étapes". Nous recommandons également d'appliquer cette mesure de sécurité au compte utilisé pour la récupération du mot de passe. La plupart des fournisseurs de messagerie, tels que Google , Microsoft ou Yahoo , proposent cette fonctionnalité.
  • S'assurer que les plug-ins et les thèmes que vous installez proviennent d'une source digne de confiance. En effet, les plug-ins ou les thèmes piratés contiennent souvent un code qui permet aux pirates informatiques d'accéder au site encore plus facilement.




Étude de cas nº 2 : site Web professionnel avec de nombreuses pages piratées difficiles à trouver

Maria, propriétaire d'une petite entreprise et gérante de son propre site Web, a reçu un message dans les Webmaster Tools indiquant que son site avait été piraté. Le message donnait l'exemple d'une page ajoutée par les pirates informatiques : https://example.com/acheter-du-cialis-hors-pharmacie/ . Elle en a parlé à son fournisseur d'hébergement qui a regardé le code source de sa page d'accueil, mais n'a trouvé aucun mot clé pharmaceutique. Lorsque le fournisseur d'hébergement a consulté l'URL https://example.com/acheter-du-cialis-hors-pharmacie/ , une page d'erreur s'est affichée. Maria a également acheté un système d'analyse de logiciels malveillants, mais aucun contenu malveillant n'a été trouvé sur son site.


Maria s'est alors connectée à son compte Webmaster Tools et a utilisé l'outil Explorer comme Google sur l'URL d'exemple que nous lui avions fournie, à savoir https://example.com/acheter-du-cialis-hors-pharmacie/ . Cela n'a donné aucun résultat. Perplexe, elle a envoyé une demande de réexamen. Elle a reçu en réponse un message de refus lui conseillant de faire deux choses :


1. Valider dans les Webmaster Tools la version racine de son site (celle dont l'URL ne commence pas par "www"), car les pirates informatiques essaient souvent de cacher le contenu dans des dossiers négligés par le webmaster.
Bien que les sites https://example.com et https://www.example.com semblent être identiques, nous les considérons en réalité comme distincts. https://example.com est   ainsi le "domaine racine", tandis que https://www.example.com est appelé le "sous-domaine". Maria avait validé https://www.example.com dans les Webmaster Tools, mais pas https://example.com .Or les pages ajoutées par les pirates informatiques n'étaient pas de type "www", comme on peut le voir dans https://example.com/acheter-du-cialis-hors-pharmacie/ . Après avoir vérifié https://example.com avec l'outil Explorer comme Google des Webmaster Tools, elle a pu trouver le contenu piraté sur l'URL que nous lui avions fournie.

2. Vérifier la présence de nouvelles règles dans son fichier .htaccess.
Maria s'est adressée à son fournisseur d'hébergement qui lui a montré comment accéder à son fichier .htaccess. Elle a immédiatement remarqué que son fichier .htaccess comprenait un contenu étrange qu'elle n'avait pas ajouté :

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
RewriteRule ^([^/]*)/$ /main.php?p=$1 [L]
</IfModule>
L'instruction mod_rewrite ci-dessus a été insérée par le pirate informatique et redirige tous les internautes qui accèdent au site via certains moteurs de recherche, ainsi que les robots d'exploration des moteurs de recherche, vers la page main.php, qui génère la totalité du contenu piraté. Ces règles peuvent également rediriger les internautes qui accèdent au site depuis un appareil mobile. Le même jour, elle a également constaté qu'une analyse récente pour détecter d'éventuels logiciels malveillants avait révélé la présence de contenu suspect dans le fichier main.php. De plus, elle a remarqué un utilisateur inconnu dans la section répertoriant les utilisateurs du FTP de son logiciel de développement de sites Web.
Elle a supprimé les fichiers main.php et .htaccess, ainsi que l'utilisateur inconnu du répertoire FTP, et a constaté que son site n'était plus piraté.




Mesures pour éviter d'être piraté à l'avenir

  • Évitez d'utiliser un FTP lorsque vous transférez des fichiers sur vos serveurs. Les FTP ne chiffrent pas le trafic, y compris les mots de passe. À la place, utilisez un SFTP, qui chiffre tout, y compris votre mot de passe. Cela constitue une protection contre les personnes malintentionnées qui examinent le trafic sur le réseau.
  • Vérifiez les autorisations des fichiers sensibles comme .htaccess. Votre fournisseur d'hébergement devrait pouvoir vous venir en aide si nécessaire. Le fichier .htaccess est censé améliorer et protéger votre site, mais il peut également être utilisé de façon malveillante par les pirates informatiques s'ils peuvent y accéder.
  • Soyez vigilant et vérifiez qu'il n'y a pas de nouveaux utilisateurs inconnus dans votre panneau d'administration, ou dans toute autre section par le biais de laquelle des utilisateurs sont susceptibles de modifier votre site.
Nous espérons que votre site ne sera jamais piraté, mais si cela se produit, sachez que de nombreuses ressources sont à la disposition des webmasters sur notre page Assistance aux webmasters pour les sites piratés. Si vous avez besoin d'aide ou que vous souhaitez partager vos propres astuces, n'hésitez pas à vous exprimer sur notre Forum d'aide pour les webmasters . Si, à la suite de la lecture de cet article, vous publiez des messages sur le forum ou que vous envoyez une demande de réexamen, spécifiez le hashtag "#NoHacked".



Publié par Julian Prentice et Yuan Niu, Google Search Quality