Le « Japanese Keyword Hack » : votre site se fait pirater, et vous ne voyez rien

Qu'est-ce que le Japanese Keyword Hack, au juste ?

C'est une famille d'attaques SEO qui fait des ravages depuis des années, et qui revient en force. Le principe : un attaquant prend le contrôle d'un site WordPress légitime, le vôtre, celui d'un artisan, d'une PME, d'une association, et y injecte des centaines, parfois des milliers de pages de spam, le plus souvent en japonais, parfois en chinois. Ces pages pointent vers de la contrefaçon (sacs, montres), de la pharmacie illégale ou des casinos en ligne.

Le génie pervers de l'attaque, c'est que le propriétaire ne voit absolument rien. Vous tapez l'adresse de votre site : tout est normal. Vous parcourez vos pages : rien d'anormal. Connecté en admin : impeccable. Le spam n'est servi qu'à une seule entité au monde, Googlebot. On appelle ça le cloaking, et c'est exactement pour ça que ce hack reste invisible des semaines, parfois des mois.

Le but n'est pas de défigurer votre site. Il est de voler son autorité aux yeux de Google, silencieusement, le plus longtemps possible.

Comment on s'en aperçoit (toujours trop tard)

Comme le hack est invisible sur le site lui-même, on le découvre presque toujours par un signal indirect. Les classiques que je vois en intervention :

• Un référencement qui s'effondre, vos positions chutent du jour au lendemain, parce que Google a détecté le spam et déclasse tout le domaine.
• Une alerte Google Search Console, « Problème de sécurité » ou « Site piraté », souvent accompagnée d'exemples de pages que vous ne reconnaissez pas.
• Des pages étranges dans site:votredomaine.fr, des titres en idéogrammes japonais que vous n'avez jamais publiés.
• Un effondrement brutal du trafic, parfois après une « explosion » suspecte de pages indexées dans le rapport de couverture.

Le pire moment pour découvrir tout ça, c'est quand un client vous appelle parce que son site est marqué « Ce site peut endommager votre ordinateur » dans les résultats. À ce stade, le mal est fait, mais c'est totalement réparable. J'y reviens.

Le mécanisme, étape par étape

Comprendre comment l'attaque s'installe, c'est comprendre pourquoi un simple « j'ai supprimé un fichier bizarre » ne suffit jamais. Il y a quatre temps.

1. L'entrée

Le point d'entrée est presque toujours le même : un plugin ou un thème vulnérable et non mis à jour, ou un identifiant FTP/admin fuité. L'attaquant exploite la faille pour déposer une backdoor PHP obfusquée, un web shell, souvent planquée dans /wp-content/uploads ou camouflée dans un fichier d'apparence légitime.

2. La persistance

Un attaquant sérieux ne pose jamais une seule porte. Il installe une tâche cron malveillante (via wp_schedule_event), crée un utilisateur admin fantôme, modifie le .htaccess, et sème plusieurs backdoors imbriquées. C'est volontaire : supprimer la première ne sert à rien, une autre la régénère cette nuit.

3. L'injection

Le contenu de spam n'est pas forcément stocké en fichiers. Très souvent, les URL et le contenu vivent dans wp_options et wp_posts, parfois sous forme de PHP sérialisé pour passer inaperçus. Un faux sitemap est ensuite soumis à Search Console pour que Google indexe le spam le plus vite possible.

4. Le cloaking

C'est la pièce maîtresse. Le code malveillant teste le User-Agent (et parfois l'IP) de chaque visiteur. Googlebot ? On lui sert les pages de spam japonais. Un humain, ou l'admin connecté ? On lui sert le vrai site, intact. Voilà pourquoi vous ne voyez rien : vous n'êtes tout simplement pas la cible de l'affichage.

La détection : les bons réflexes

Quand j'arrive sur un site potentiellement infecté, je déroule toujours la même check-list. Aucune étape n'est facultative.

• site:votredomaine.fr dans Google + le rapport de couverture de Search Console → c'est là que les pages japonaises sortent du bois.
• Récupérer la page d'accueil en tant que Googlebot (en changeant le User-Agent) → le cloaking se trahit lui-même : vous voyez enfin le spam.
• Comparer chaque fichier core/plugin/thème aux checksums officiels de WordPress.org → tout fichier modifié ou surnuméraire est suspect par défaut.
• Grepper les marqueurs d'obfuscation dans le PHP : base64_decode, eval, gzinflate, str_rot13, blocs hexadécimaux interminables.
• Inspecter wp_options (options autoloaded inconnues), wp_users (admins fantômes) et les crons planifiés.

# 1. voir le site comme Googlebot, le cloaking se révèle
curl -A "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" \
     https://votredomaine.fr/ | grep -i -E 'casino|viagra|ブランド|激安'

# 2. traquer l'obfuscation dans tout le PHP
grep -rE 'base64_decode|eval\(|gzinflate|str_rot13' wp-content/ \
     --include='*.php' -l

# 3. confronter le core aux checksums officiels
wp core verify-checksums
wp plugin verify-checksums --all

La ligne qui fait toute la différence, c'est la première. Tant qu'on regarde le site avec un navigateur normal, on ne verra jamais le problème. C'est en se faisant passer pour Googlebot que le déguisement tombe, et là, le spam japonais apparaît d'un coup, en pleine page d'accueil.

Le nettoyage : tout, ou rien

Nettoyer un site sous Japanese Keyword Hack n'a rien d'un coup d'éponge. Si on en laisse une seule porte, l'attaquant rentre par elle et tout recommence. La séquence que je suis, dans l'ordre :

• Sauvegarde d'abord, fichiers + base. On ne touche à rien sans filet, ne serait-ce que pour l'analyse forensique.
• Supprimer TOUTES les backdoors, pas une, toutes les copies imbriquées, nettoyer les lignes injectées en base, supprimer les utilisateurs et crons malveillants, restaurer le .htaccess.
• Faire tourner les clés, régénérer les salts/keys WordPress, forcer la réinitialisation de tous les mots de passe (un identifiant a fuité, par définition).
• Tout mettre à jour, core + tous les plugins + tous les thèmes. La faille d'entrée doit disparaître, sinon le nettoyage ne tient pas.
• Durcir, permissions au plus juste, pare-feu premium (Wordfence ou Cloudflare), désactivation de l'éditeur de fichiers dans l'admin.

Cette dernière étape, le durcissement, est ce qui sépare un nettoyage qui tient d'un sparadrap qui craque. Un site juste « nettoyé » mais pas durci est un site qui se fera ré-infecter, parce que rien n'a changé sur ce qui a permis l'entrée.

La moitié qu'on oublie : la récupération SEO

Voici l'erreur la plus fréquente, même chez des pros : croire que le travail s'arrête au site propre. Faux. Une fois le site nettoyé, Google continue d'afficher le spam dans son index et de pénaliser le domaine. Tant qu'on ne lui dit pas explicitement « c'est réglé », rien ne bouge.

• Supprimer le faux sitemap de Search Console et resoumettre le vrai.
• Désindexer le spam, outil de suppression d'URL, et laisser Google recrawler les vraies pages.
• Demander une vérification de sécurité dans Search Console (« Demander un examen ») pour lever l'avertissement « site piraté ».
• Surveiller pendant des semaines, toute ré-infection, tout retour de pages japonaises, toute anomalie de couverture.

Cas vécu : l'artisan qui vendait du Viagra à son insu

Un artisan me contacte, paniqué. Son site vitrine, quelques pages, une galerie, un formulaire de contact, s'était mis à servir des pages de pharmacie illégale à Google. Lui ne voyait rien : son site était parfaitement normal sous ses yeux. Mais en cherchant son entreprise sur Google, il tombait sur des résultats en japonais à son nom de domaine, et Search Console venait de lui coller une alerte de sécurité.

Diagnostic : un vieux plugin non mis à jour avait servi de point d'entrée. Trois backdoors imbriquées, un admin fantôme, un cron qui réinjectait le spam chaque nuit, et un faux sitemap soumis à Google. Le nettoyage complet a pris moins de 24 heures, toutes les portes, la base, les clés, le durcissement. La récupération du référencement, elle, s'est étalée sur les semaines suivantes : désindexation du spam, examen de sécurité levé, positions revenues à la normale. Aucune donnée client n'avait fuité, l'attaque ne visait que l'autorité du domaine.

Ce que je retiens

• Un hack invisible est le plus dangereux. Pas de défiguration = pas d'alarme = le domaine se brûle pendant des semaines avant qu'on réagisse.
• Les scanners automatiques ne suffisent pas. Cloaking + backdoors imbriquées = ils ratent l'essentiel et laissent croire que c'est propre.
• Le nettoyage n'est que la moitié du travail. Sans récupération SEO, le site reste pénalisé même une fois sain, et le client ne comprend pas pourquoi son trafic ne revient pas.
• La prévention coûte mille fois moins cher. Mises à jour, moindre privilège, monitoring : l'entrée du Japanese Keyword Hack, c'est presque toujours une faille qu'on aurait pu fermer en cinq minutes.

Si vous lisez ça avec une boule au ventre parce que ça ressemble trop à votre situation : respirez. C'est sournois, mais c'est réparable, et ça se répare vite quand on sait où regarder. Le plus dur n'est pas de nettoyer, c'est de tout nettoyer, et de penser à la deuxième moitié : rendre sa réputation au domaine.