Quand un site WordPress est compromis : pourquoi des pages fantômes restent indexées

Un propriétaire de site a partagé sur Reddit sa situation : après une intrusion puis les corrections nécessaires pour rétablir son site, des centaines de pages liées au japanese keyword hack apparaissent encore dans l’index de Google, alors qu’elles ne sont plus visibles dans le tableau de bord WordPress. Ce type de phénomène est fréquent après une attaque : même une fois les fichiers malveillants supprimés et les comptes réinitialisés, des URL « fantômes » persistent dans les résultats des moteurs de recherche.

Réponse de Google et explication du comportement d’indexation

John Mueller, de l’équipe Search, a expliqué que les pages compromises peuvent être « masquées » côté serveur ou par des redirections, ce qui empêche leur affichage depuis le tableau de bord tout en laissant Google les conserver en mémoire. Pour accélérer leur retrait de l’index, il recommande d’employer l’outil d’inspection d’URL de la Search Console et, lorsque les URL malveillantes suivent un motif identifiable, le mécanisme de suppression d’URL temporaire pour les retirer rapidement des résultats de recherche (par exemple en soumettant un chemin commun comme « /?p= » pour écarter toutes les occurrences).

Source : Discussion Reddit

Comment et pourquoi Google maintient ces pages en index

Comprendre l’origine de la persistance des pages indexées après une attaque est essentiel pour résoudre le problème de façon durable. Google peut conserver une URL en index pour plusieurs raisons :

• Les URL spammées ont été découvertes et indexées auparavant — Google n’efface pas immédiatement une entrée de son index si la page ne répond plus ou retourne des erreurs temporaires.
• Des redirections côté serveur ou un affichage conditionnel masquent les pages sur le frontend mais laissent l’URL techniquement accessible, ce qui maintient son état dans l’index.
• L’absence d’instructions explicites (comme un en-tête noindex ou une entrée robuste dans le sitemap) complique la mise à jour de l’état d’indexation par les moteurs.

Conséquences pour le site et la réputation

La présence persistante de pages issues d’un japanese keyword hack dans l’index peut avoir plusieurs effets négatifs :

• Perte de trafic organique qualifié au profit de pages spammy qui détériorent l’expérience utilisateur.
• Potentialité de pénalités manuelles ou algorithmiques si Google détecte encore du contenu de spam sur de nombreuses URL.
• Atteinte à la crédibilité de la marque, notamment si les pages indexées affichent du contenu trompeur ou du phishing.

Procédure complète pour faire face aux pages indexées après un piratage

Voici une méthode structurée, adaptée aux administrateurs de WordPress et autres plateformes, pour nettoyer l’index et réduire le risque de récidive.

1) Vérification initiale et confinement

Avant toute chose, isolez le problème pour éviter d’aggraver la situation :

• Mettre le site en maintenance si nécessaire pour bloquer l’accès public pendant les opérations sensibles.
• Changer immédiatement tous les accès d’administration : mots de passe, clés API, et comptes FTP/SFTP. Utilisez des mots de passe robustes et, si possible, activez l’authentification à deux facteurs.
• Examiner les comptes utilisateurs de WordPress pour détecter les comptes inconnus ou avec privilèges élevés et les supprimer.

2) Identification des artefacts laissés par l’attaque

Il est crucial de localiser les fichiers, scripts ou entrées de base de données créés par l’attaquant :

• Scanner le site avec des outils spécialisés ou un plugin de sécurité pour repérer les fichiers modifiés, les backdoors et les scripts suspects.
• Consulter les logs du serveur (logs d’accès et d’erreurs) pour repérer les patterns inhabituels, les requêtes répétitives vers des endpoints spécifiques ou les accès à des fichiers non existants auparavant.
• Rechercher dans la base de données les contenus injectés (options, posts, meta) contenant du texte en japonais, des liens vers des domaines tiers, ou des schémas d’URL étranges.

3) Nettoyage des fichiers et de la base de données

Après identification, procédez au retrait des éléments malveillants :

• Remplacez les fichiers principaux (core WordPress, thèmes et plugins) par des copies saines issues des dépôts officiels ou de sauvegardes connues propres.
• Supprimez ou corrigez les fichiers suspects repérés par le scan ou dans les logs.
• Nettoyez la base de données des entrées injectées : supprimez les posts spammés, les options malveillantes et les métadonnées corrompues.
• Vérifiez les fichiers .htaccess et autres règles de serveur qui pourraient masquer des redirections ou permettre l’accès à des scripts cachés.

4) Renforcer l’infrastructure et corriger les vecteurs d’entrée

Pour limiter la réapparition d’un incident, corrigez les failles exploitées :

• Mettez à jour WordPress, thèmes et plugins vers leurs dernières versions stables.
• Supprimez les plugins obsolètes ou non maintenus qui peuvent contenir des vulnérabilités.
• Limitez les privilèges des comptes utilisateurs et appliquez le principe du moindre privilège.
• Configurez le serveur pour restreindre l’exécution de scripts dans les répertoires upload ou autres emplacements vulnérables.
• Installez un plugin de sécurité ou un WAF au niveau du serveur pour filtrer les requêtes malveillantes.

5) Validation : s’assurer que le site est propre

Avant de demander le retrait des pages de l’index, confirmez que l’infection a disparu :

• Repassez un scan complet et vérifiez qu’aucun artefact n’est retrouvé.
• Testez manuellement des URL suspectes et observez les réponses HTTP (200, 404, 301, etc.).
• Revérifiez les logs après nettoyage pour confirmer l’absence de nouvelles activités anormales.

Utiliser la Search Console pour accélérer le retrait d’URL

Une fois le site nettoyé, la Search Console devient l’outil principal pour soumettre des demandes ciblées à Google et vérifier l’état d’indexation.

Inspection d’URL : vérifier l’état exact d’une page

L’outil d’inspection d’URL permet de voir comment Googlebot récupère et indexe une adresse précise :

• Soumettez une URL suspecte pour obtenir son statut d’indexation, le contenu rendu par Googlebot, et les éventuelles ressources bloquées.
• Si l’URL renvoie désormais une erreur 404 ou 410, l’outil le montre et peut déclencher un retrait plus rapide de l’index.

Suppression d’URL : masquer temporairement des schémas d’URL

Lorsque l’attaque a généré des centaines ou milliers d’URL suivant un modèle commun, l’option « suppression d’URL » de la Search Console est très utile :

• Identifiez un motif répétitif dans les URL spammées (par exemple, une structure query comme « /?p= » ou un répertoire spécifique).
• Soumettez ce motif via l’outil de suppression pour demander la mise en cache de suppression temporaire. Cela masque les entrées dans les résultats de recherche pendant la période de suppression.
• Attention : c’est une mesure temporaire. Pour un retrait définitif, il faut que le serveur retourne un code 404/410, un en-tête noindex, ou que les URL soient entièrement supprimées.

Exemple pratique

Si toutes les pages compromettantes ont une structure identique, vous pouvez soumettre le préfixe commun dans l’outil de suppression. Par exemple, si l’attaque a créé des URLs comme « votresite/?p=12345 », la soumission de « /?p= » en suppression d’URL masquera toutes les occurrences correspondantes dans les résultats de recherche pendant la durée de la demande.

Mesures complémentaires pour assurer un retrait permanent

La suppression temporaire via la Search Console doit être accompagnée d’actions techniques pour garantir que les pages ne réapparaissent pas :

Configurer des réponses HTTP correctes

Pour qu’une URL disparaisse durablement de l’index, il faut qu’elle renvoie un statut approprié :

• 404 (Not Found) : indique que la ressource n’existe pas. Google finira par la retirer si elle reste en 404.
• 410 (Gone) : signale explicitement que la ressource a été supprimée de façon définitive — souvent traitée plus rapidement par Google qu’un 404.
• 301 (Redirection permanente) : si vous redirigez l’URL spammy vers une page pertinente, Google transfèrera peu à peu le signal vers la destination.

Utiliser meta robots et robots.txt avec prudence

L’en-tête noindex inséré dans la balise meta robots de la page indique clairement à Google de ne pas indexer la ressource. En revanche, bloquer une URL via robots.txt empêche Googlebot de la crawler, mais pas nécessairement de la supprimer de l’index si le moteur a déjà vu cette URL auparavant. Préférez :

• Ajouter un meta noindex sur les pages à retirer (si elles existent toujours et sont accessibles).
• Veiller à ce que les pages renvoient un 404/410 ou soient redirigées si elles ont été supprimées.
• Ne pas compter uniquement sur robots.txt pour retirer du contenu déjà indexé.

Mettre à jour le sitemap

Après nettoyage, régénérez et soumettez un sitemap propre dans la Search Console. Un sitemap à jour aide Google à découvrir rapidement les pages valides et à réconcilier l’état d’indexation du site.

Surveiller et prévenir les futures intrusions

Pour éviter de revivre un scénario identique, implémentez une stratégie de surveillance et de prévention :

Surveillance régulière

• Activez les alertes de sécurité et les notifications d’anomalies dans la Search Console et via votre plugin de sécurité.
• Effectuez des scans périodiques du site et des audits de sécurité au moins mensuellement, ou plus souvent pour les sites à fort trafic.
• Surveillez les logs serveur pour toute montée soudaine de trafic vers des endpoints inconnus et les tentatives de connexion répétées.

Gestion des sauvegardes et plans de restauration

Maintenez une stratégie de sauvegarde robuste :

• Conservez des sauvegardes régulières et testez la restauration pour garantir l’intégrité des fichiers et de la base de données.
• Gardez plusieurs points de restauration sur différentes périodes pour revenir à un état fiable si nécessaire.

Renforcement des accès

• Usez d’authentification forte sur tous les comptes d’administration (2FA). Évitez les mots de passe faibles et réutilisés.
• Révoquez les clés API inutilisées et limitez l’accès SSH/FTP par adresse IP lorsque possible.

Nettoyage régulier des extensions

Éliminez les plugins et thèmes non utilisés et gardez uniquement des extensions maintenues par des développeurs fiables. Les composants obsolètes sont souvent exploités pour pénétrer un site.

Que faire si Google conserve des pages même après toutes les corrections ?

Malgré tous les efforts, il peut arriver que certaines entrées restent visibles dans l’index pendant plusieurs semaines. Voici des actions supplémentaires à considérer :

Soumettre des demandes de réexamen (en cas de sanction)

Si le site a reçu une action manuelle pour spam ou contenu malveillant, corrigez toutes les violations et soumettez une demande de réexamen via la Search Console. Fournissez des explications claires et la liste des corrections effectuées.

Utiliser l’outil de suppression de cache

Après avoir mis en place des réponses 404/410 ou un meta noindex, vous pouvez demander une réindexation via l’outil d’inspection d’URL : cliquez sur « Demander l’indexation » pour accélérer la prise en compte des changements par Googlebot.

Consulter des professionnels si nécessaire

Pour des attaques sophistiquées ou des volumes massifs d’URL spammy, faites appel à un expert en sécurité web ou à une agence spécialisée pour un audit approfondi et une réparation avancée.

Résumé et bonnes pratiques

La persistance de pages issues d’un japanese keyword hack dans l’index de Google est un symptôme courant après une compromission. Pour y remédier efficacement :

• Assurez-vous d’abord que le site est entièrement nettoyé en supprimant tous les scripts, fichiers et contenus malveillants.
• Changez tous les accès et renforcez la sécurité (mot de passe, 2FA, comptes, plugins).
• Utilisez la Search Console : inspectez des URL individuelles via l’outil d’inspection d’URL et, si nécessaire, employez la suppression d’URL pour masquer en masse les schémas répétitifs.
• Veillez à renvoyer des codes HTTP adaptés (404/410) ou un meta noindex pour assurer un retrait définitif.
• Mettez en place une surveillance continue, des sauvegardes testées et une politique de mise à jour stricte pour prévenir les récidives.

Points clés à retenir

• La Search Console est l’outil privilégié pour diagnostiquer et accélérer la correction de l’indexation.
• La suppression d’URL offre une solution temporaire utile lorsque des centaines d’URL partagent un motif identifiable.
• Une démarche méthodique — nettoyage, correction, renforcement, vérification — est indispensable pour obtenir un retrait durable des pages malveillantes de l’index.

Ressources et références

Pour approfondir ces sujets, consultez la Search Console pour les tutoriels officiels sur l’inspection d’URL et la suppression d’URL, ainsi que les guides de sécurisation de WordPress. Pour retrouver la discussion initiale mentionnée au début de cet article : Discussion Reddit sur le cas.

Si vous souhaitez une checklist imprimable ou un plan d’action adapté à un environnement technique précis (hébergement mutualisé, VPS, ou architecture cloud), l’idéal est d’établir un diagnostic système complet avant toute opération généralisée.