TL;DR
- L'écran rouge (« Safe Browsing ») et l'alerte Search Console signifient la même chose : Google a détecté du malware, du phishing ou un logiciel indésirable et protège vos visiteurs en les détournant.
- Le DIY échoue parce qu'on nettoie le symptôme visible et qu'on demande la revue avant que le site soit réellement propre, résultat : réinfection ou rejet.
- Le bon ordre : nettoyer à fond d'abord (portes dérobées + point d'entrée), vérifier côté Googlebot, puis seulement demander la revue.
- Un rejet de revue est presque toujours la preuve que le nettoyage était incomplet, et il ralentit la revue suivante.
- La levée de l'alerte prend des heures à quelques jours ; la récupération du référencement, elle, demande des semaines de patience.
L'écran rouge de la mort
Vous le connaissez peut-être déjà, et si c'est le cas vous avez probablement la gorge un peu serrée. À la place de votre site, un grand écran rouge : « Ce site risque d'endommager votre ordinateur », ou « Site trompeur devant ». C'est l'interstitiel Google Safe Browsing, affiché directement dans Chrome, Firefox et Safari, qui consultent tous la même liste. Pour vos visiteurs, c'est un mur. La plupart font demi-tour immédiatement.
L'autre forme, plus discrète mais tout aussi grave, c'est une notification dans Google Search Console : « Problèmes de sécurité ». Pas d'écran rouge encore, mais l'avertissement est posé, le bandeau « Ce site est peut-être piraté » commence à apparaître dans les résultats de recherche, et l'interstitiel n'est souvent plus qu'à quelques heures.
Dans les deux cas, le message de fond est identique : Google a inspecté votre site, a trouvé du code malveillant, malware, page de phishing, redirection vers de l'arnaque, ou « logiciel indésirable », et a décidé de protéger ses utilisateurs contre vous. Ce n'est pas une punition arbitraire. C'est un avertissement de sécurité. Et tant qu'il est là, votre trafic organique tombe à zéro, parfois en moins d'une journée.
Le blacklist n'est pas le problème. C'est le symptôme. Le problème, c'est ce que Google a vu, et il est toujours là tant que vous ne l'avez pas retiré.
Pourquoi le nettoyage maison échoue presque toujours
Je vois revenir le même scénario en boucle. Quelqu'un découvre l'alerte, panique un peu, trouve la page de spam injectée ou le bout de JavaScript louche, le supprime, et clique fièrement sur « Demander un examen ». Quarante-huit heures plus tard : rejet. Ou pire, l'alerte revient une semaine après. Trois raisons, presque toujours les mêmes :
- La porte dérobée est toujours là. On supprime la page visible, mais pas le backdoor qui a permis l'injection. L'attaquant garde son accès et réinfecte, souvent dans les heures qui suivent. Vous nettoyez une fuite avec le robinet encore ouvert.
- Le contenu masqué (cloaking) est encore servi à Googlebot. Votre site a l'air propre quand vous le visitez, parce que le malware ne se déclenche que pour le robot de Google ou pour les visiteurs venant des résultats de recherche. Vous ne voyez rien ; Googlebot, lui, voit toujours le spam.
- On demande la revue trop tôt. Avant même que le site soit réellement propre. Chaque revue refusée n'est pas neutre : elle apprend à l'algorithme à se méfier, et la revue suivante devient plus lente à traiter. On s'enfonce.
Autrement dit : le DIF ne rate pas par manque de courage, il rate par mauvais ordre des opérations. On traite le visible avant l'invisible, et on demande validation avant d'avoir réellement gagné. Si vous voulez comprendre à quoi ressemblent concrètement ces portes dérobées et pourquoi les scanners gratuits passent à côté, j'en parle en détail dans cet article sur les backdoors WordPress.
La séquence correcte, étape par étape
Voilà l'ordre que je suis sur chaque site blacklisté, sans exception. La discipline ici vaut plus que la vitesse.
ÉTAPE 1 ── NETTOYER À FOND (ne PAS demander de revue)
backdoors + persistance + point d'entrée
│
▼
ÉTAPE 2 ── VÉRIFIER CÔTÉ GOOGLE
fetch as Googlebot · cloaking · faux sitemap
│
▼
ÉTAPE 3 ── DEMANDER LA REVUE (maintenant seulement)
rapport Problèmes de sécurité → tout corriger → Request review
│
▼
ÉTAPE 4 ── ATTENDRE & SURVEILLER
Safe Browsing : heures → jours · statut Search Console
│
▼
ÉTAPE 5 ── DÉSINDEXER & MONITORER
retirer les pages spam · sitemap propre · semaines de veilleÉtape 1, Nettoyer à fond, d'abord et complètement
C'est l'étape qui décide de tout, et c'est aussi celle qu'on bâcle. Objectif : retirer toutes les portes dérobées et tous les mécanismes de persistance, et fermer le point d'entrée qui a permis l'intrusion (plugin vulnérable, mot de passe admin compromis, hébergement mutualisé voisin infecté…). Tant que l'entrée est ouverte, tout le reste est vain.
Concrètement : on ne se fie pas à un scanner unique. On compare les fichiers du cœur de WordPress à leurs versions officielles, on traque les fichiers PHP récents ou aux noms étranges, on inspecte les tâches cron, les utilisateurs admin fantômes, les must-use plugins, et les injections dans la base. Le Japanese keyword hack est un bon exemple de menace qui survit à un nettoyage superficiel : il se cache dans la base et dans des fichiers que personne ne pense à regarder.
Étape 2, Vérifier depuis le point de vue de Google
Votre site vous paraît propre. Ça ne suffit pas, souvenez-vous du cloaking. Il faut le voir comme Googlebot le voit. Utilisez l'outil d'inspection d'URL de Search Console (« Tester l'URL en direct ») pour récupérer la page telle que le robot la reçoit, et vérifiez qu'aucun spam masqué ne subsiste. Testez aussi en simulant le referrer Google et différents user-agents : beaucoup d'infections ne se déclenchent que dans ces conditions précises.
Vérifiez également si l'attaquant a soumis un faux sitemap, un classique pour faire indexer en masse des pages de spam. S'il y en a un dans Search Console que vous n'avez pas créé, supprimez-le. Repérez les pages injectées déjà indexées (une recherche site:votredomaine.fr révèle souvent des centaines d'URL de pharmacie ou de casino que vous n'avez jamais écrites).
Étape 3, Lire le rapport, tout corriger, puis demander la revue
Maintenant, et seulement maintenant, on ouvre le rapport « Problèmes de sécurité » de Search Console. Bonne surprise : il nomme souvent des URL d'exemple concernées. C'est de l'or : chacune est un indice sur ce que Google a vu. Vérifiez chaque URL listée, assurez-vous qu'elle est réellement nettoyée (côté Googlebot, pas seulement côté navigateur), et corrigez tout ce qui reste.
Une fois tout traité, cliquez sur « Demander un examen ». Et soignez le message : décrivez ce qui a été compromis, comment l'intrusion a eu lieu, et précisément ce que vous avez corrigé pour fermer la brèche. Une description claire et crédible accélère l'examen humain. Un « j'ai nettoyé, merci » expédié en trois mots, beaucoup moins.
Étape 4, Attendre, et surveiller le bon indicateur
Pour un interstitiel Safe Browsing (l'écran rouge), la levée prend généralement de quelques heures à quelques jours une fois la revue acceptée. Ne rafraîchissez pas Chrome toutes les cinq minutes : surveillez plutôt le statut du rapport « Problèmes de sécurité » dans Search Console, qui passera de « Problèmes détectés » à « Aucun problème ». C'est le signal fiable. L'écran rouge disparaît ensuite chez les visiteurs, le temps que les caches navigateur se mettent à jour.
Étape 5, Désindexer le spam, soumettre un sitemap propre, surveiller
L'alerte levée, le travail n'est pas fini. Les pages de spam injectées sont peut-être encore dans l'index Google. Demandez leur désindexation (outil de suppression d'URL pour les plus visibles), soumettez un sitemap propre pour aider Google à recartographier le vrai site, et surtout surveillez pendant plusieurs semaines. La réinfection est fréquente quand l'étape 1 a été incomplète, c'est même le meilleur test rétroactif de la qualité de votre nettoyage.
Ce que je retiens
- L'ordre est tout. Nettoyer, vérifier, puis demander. Inverser ne serait-ce qu'une étape, c'est s'offrir un rejet et rallonger toute la procédure.
- Un rejet de revue est un diagnostic. Ce n'est pas de la malchance : c'est Google qui vous dit que votre nettoyage était incomplet. Écoutez-le, ne réessayez pas en force.
- Le visible ment. Backdoor caché, cloaking, faux sitemap : ce qui vous fait blacklister est exactement ce que vous ne voyez pas dans votre navigateur. Il faut regarder comme Googlebot.
- La patience fait partie du correctif. La levée de l'alerte est rapide, la récupération du SEO ne l'est pas. Surveillez, ne tripatouillez pas, laissez la confiance se reconstruire.
Au fond, récupérer un site blacklisté n'est pas une question de courage ou d'outil magique, c'est une question de méthode et de discipline dans l'ordre des gestes. C'est précisément là que la plupart des nettoyages maison déraillent, et précisément ce qu'on fait à votre place quand le temps presse.
Votre site est blacklisté et vous voulez lever l'alerte vite et bien ?
C'est exactement ce qu'on fait sur wp-pirate.fr : nettoyage complet (backdoors inclus), récupération Google Search Console comprise, diagnostic gratuit, intervention en moins de 24h, et vous ne payez qu'une fois le résultat obtenu.
Lever l'alerte Google ↗