Que dois-je faire si mon site Web a été piraté ? Comment récupérer le web.

Votre site Web a été piraté? Si mon site Web a été piraté

C'est la réponse la plus dure que l'on puisse donner quand on nous pose cette question très directe. Nous ne pensons jamais que cela puisse nous arriver, mais en réalité nous sommes des numéros qui, d'une manière ou d'une autre, peuvent nous toucher.

Dans le prochain article, je vais essayer d'expliquer les moyens de pirater un site Web et comment nous pouvons résoudre ce problème qui peut même conduire à la disparition du projet.

Au cours de ces plus de 15 années de métier sur Internet et dans des projets de référencement, la vérité est que j'ai tout trouvé. Attaques SEO négatives, projets avec mille sales tours, projets frauduleux et bien plus encore. Mais ce à quoi vous ne vous habituez jamais, c'est de faire face à un piratage de site Web.

C'est un de ces cas où tu prends plusieurs red-bulls, et tu te dis : ça va être dur, vraiment dur. Et le problème, c'est qu'on ne connaît jamais la dimension que l'attaque a pu atteindre. C'est pourquoi nous devons être prudents, essayer d'agir le plus rapidement possible, mais en toute sécurité, et être certains que tout ce que nous faisons est sûr.

Décrivons maintenant les types de piratage que nous pouvons subir.

Types de piratage d'un site Web.

• Inclusion de code sur le web.

À cette occasion, ils entrent dans le FTP pour toute vulnérabilité pouvant exister sur le Web et insèrent un cheval de Troie chargé de créer de nouvelles pages et d'inclure du nouveau code dans le reste, en modifiant les pages existantes.

Selon la propreté des hackers ou des robots hackers, la dimension du hack sera plus ou moins grande. Nous pouvons constater qu'ils ont généré des centaines de milliers de pages, qu'il sera extrêmement difficile de supprimer rapidement, ou qu'ils en ont créé quelques-unes.

On constate aussi dans certains cas qu'ils ont généré un code Js qui fait une redirection vers une autre page.

Et le plus courant est la modification des pages uniquement pour les robots Google afin que si un utilisateur normal entre, il verra la page correctement, mais Google verra tout le contenu et les URL de merde.

Dans la plupart de ces cas, le piratage est effectué pour obtenir des codes d'affiliation à partir d'une page Web, ou même pour acheter des produits frauduleusement, c'est-à-dire pour simuler une boutique en ligne, et les gens achètent les produits, paient, mais ne vont jamais rien recevoir , et la personne responsable est le propriétaire du site Web piraté.

• Hameçonnage

C'est un autre type de hack d'inclusion de code. Mais nous le séparons du précédent car celui-ci est vraiment dangereux, et peut même entraîner des plaintes de millionnaires de la part des personnes concernées. Ce qu'ils font, c'est créer une réplique de la page d'une banque, où ils attireront les gens par le biais de spams frauduleux.

Ici, ils essaieront de conserver les mots de passe et d'avoir accès aux comptes bancaires de la personne qui a été victime d'une arnaque avec l'e-mail.

Le problème ici est que la personne responsable est le propriétaire du site Web, comme dans le cas précédent. Et c'est tellement grave que les hébergeurs, lorsqu'ils détectent un piratage par phishing, coupent automatiquement le service.

Y compris également des pages de vente de produits simulées, où le produit n'arrivera jamais.

Bref, le phishing est un anglicisme que nous avons adopté que nous pourrions traduire par "pêcheur" et c'est précisément ce qu'il fait. La simulation de code sur le web va tenter de "voler" les données de la personne pour se faire passer pour elle et commettre une fraude.

• Saisir un bien dans la Search Console

La chose habituelle dans ce cas est qu'ils enregistrent le Web en tant que propriété dans la Search Console et envoient un sitemap avec une multitude de pages qui ne sont actuellement pas indexées dans Google. Google les indexera. Google indexera des milliers de pages avec des caractères "rares" généralement japonais.

• pirater pour le référencement négatif

La plupart des hacks visent à faire gagner de l'argent aux personnes qui le font. Mais dans ce cas, l'objectif est l'inverse : « faire perdre de l'argent » aux pages où le piratage a été effectué.

Parce que?

Eh bien, parce que l'inclusion de code vise à inclure des liens externes massifs et à générer des pages de contenu pornographique ou des casinos. Ces pages seront indexées par Google et Google prendra des mesures manuelles pour corriger cela, bien que dans la plupart des cas, les sanctions soient directement algorithmiques. Il n'est pas certain que Google, via la Search Console, mette une action manuelle (pénalité manuelle), puisque ces choses se réalisent généralement très tardivement.

• piratage de mot de passe

Cela se fait normalement à l'aide d'un logiciel de craquage de mots de passe, appelé dictionnaire, car il teste les lettres jointes, effectuant environ 60 vérifications par minute, 1 toutes les 10 secondes. La probabilité d'être piraté avec cette méthode si votre mot de passe est très faible (uniquement des lettres) est d'environ 80 %. Si le mot de passe est alphanumérique, la probabilité est de 50 % et s'il comprend des symboles, des majuscules, etc., la probabilité est de 10 %.

Ce qu'ils font, c'est casser le mot de passe, saisir toutes les données possibles et effectuer le piratage, qui peut être le même que ce qui précède. Ou ils insèrent simplement des liens sortants dans un ancien contenu sans que vous vous en rendiez compte.

• Détournement. Vol de session utilisateur.

Cela se produit dans les réseaux partagés, où la sécurité est moindre, et la session utilisateur est consultée et volée, pouvant changer les mots de passe ou détourner l'identité de l'utilisateur. Pour cette raison, il est conseillé de ne jamais se connecter à des réseaux Wi-Fi ouverts, sans aucune justification. Soit depuis le PC, soit depuis le téléphone portable.

En pouvant accéder à la session utilisateur, la taille du piratage peut être aussi importante que le pirate le souhaite.

Rappelons que le pirate informatique n'est pas un profil négatif. Le hacker est celui qui découvre des failles de sécurité, pour avertir les utilisateurs afin qu'ils puissent les résoudre. La plupart d'entre eux travaillent dans des sociétés de sécurité informatique. Le profil négatif est celui du pirate informatique qui fait tout cela dont nous parlons. Dans ce cas, ce n'est pas un hacker, c'est un Hacker ou un Cyber ​​Criminel.

• logiciel malveillant de vol de mot de passe

Le vol de mot de passe est le processus de piratage le plus simple qui est généralement effectué. Et aussi le plus facile à contrer. Il est basé sur l'accès à un PC, via un logiciel malveillant, qui suit tous les mots de passe et accès de l'utilisateur, afin d'y accéder.

Une pratique bien faite consiste à prendre le mot de passe du cpanel des sites Web, installez un redirecteur de courrier dans le compte de messagerie qui reçoit le plus de courrier. Généralement l'administration. De cette manière, tous les e-mails qui parviennent à ce compte atteindront également le compte du pirate. Cela prendra n'importe quelle facture qu'ils ont envoyée et la dupliquera avec un faux numéro de compte afin que l'argent atteigne le pirate, au lieu du fournisseur.

Il y en a peut-être beaucoup d'autres mais…

Comment agir avant un piratage ?

Étape 1 : Obtenir des informations sur le piratage

La première chose que nous devons faire est de nous mettre entre les mains d'un professionnel, si nous ne savons pas comment le faire. Evidemment le professionnel va vous facturer de l'argent, et donc si vous n'avez pas de budget vous allez devoir entreprendre vous-même les travaux.

Dans tous les cas, nous devons prendre en compte les données suivantes :

• Quel type de piratage avons-nous subi
• Depuis quand c'était fait.
• Nombre d'URL infectées.
• Nombre de nouvelles URL créées
• Existe-t-il des avertissements de la Search Console pour le piratage ?
• Y a-t-il des avertissements dans Google pour un éventuel piratage ?

Après avoir connu tous ces détails, nous devons prendre des mesures pour résoudre le hack.

Si nous avons fait une sauvegarde, nous devrons restaurer tous les fichiers et fichiers sur le Web à un point antérieur au moment où l'infection a été faite.

Comment savoir quand cela a été fait ?

Nous ne pourrons pas le savoir avec certitude si nous ne regardons pas les journaux du serveur. Mais un moyen plus ou moins fiable passe par le cache de Google. Google met périodiquement en cache notre site Web. Selon l'autorité dont dispose le site Web, le cache sera effectué plus souvent, ou moins.

Si Google vérifie lors de la mise en cache qu'il a été piraté, il ne le mettra plus en cache. Ce n'est pas totalement sûr, car Google peut déterminer que le site Web n'a pas été compromis et le remettre en cache.

Ici, vous devez vous fier à la société d'hébergement pour déterminer la taille et le processus du piratage.

Comment savoir combien d'urls ont été impactées ?

La forma más o menos fiable de saberlo es a través de Search Console. Deberemos entrar en Cobertura,  y ver las páginas indexadas. Luego ver las páginas que están indexadas que no están en Sitemap. Aquí estarán todas las urls que se han creado nuevas.

Luego deberemos entrar en todas las que están indexadas que están en sitemap, y ver las que tienen caracteres “raros”.

Otra forma de saberlo es a través footprint en Google. Debamos poner site:dominiohackeado.com (sustituimos dominiohackeado.com por tu dominio). Aquí aparecerán las urls que Google tiene indexadas. (ojo, indexadas no es listadas. Una cosa es que estén en el índice de Google, y otra cosa es que Google te la muestre en los resultados). El único problema es que sólo se muestran 300 resultados como mucho.

Paso 2 – Cambiar las contraseñas.

On peut alterner ceci avec le point précédent. Changer les mots de passe tous les sites :

• l'accès à Internet
• BD mySQL
• Cpanel, plex ou le panneau de contrôle que nous utilisons
• Comptes Google (analytics, Search Console, messagerie gmail)
• Outils
• Tout ce que nous avons stocké dans Google Chrome ou Firefox ou dans le navigateur habituel.

Étape 3 – Effectuez une restauration à partir d'une sauvegarde Web précédente.

Une fois que nous sommes clairs sur tout ce qui précède, nous devons nous remettre de l'infection. La chose la plus sûre est de faire une restauration à un point antérieur à l'infection. Cela résoudra au mieux le problème de code sur le Web, mais pas le problème sur Google.

Dans le pire des cas, la restauration ne résoudra pas le problème. Pour deux raisons :

• L'infection a été faite à un point antérieur.
• Le virus inséré continue dans toute restauration effectuée.
• Si vous avez toujours le logiciel malveillant sur votre ordinateur et peu de temps après avoir effectué la sauvegarde, le piratage se reproduit.

D'après mon expérience, dans la plupart des cas, il est résolu avec la restauration.

C'est pourquoi il est important d'avoir un hébergement où vous pouvez faire des sauvegardes automatiques régulières, quotidiennes ou hebdomadaires.

Dans mon cas, j'ai choisi Raiola pour héberger mon blog pour la même raison, non seulement pour les sauvegardes, mais pour tous les problèmes liés à la sécurité, au support et à la vitesse.

Les autres options peuvent être Nicalia ou Siteground.

Étape 4. Désinfection du code.

Dans le cas où le point 3 n'aurait pas résolu le problème, nous devrons désinfecter le Web de tous les codes ou fichiers à l'origine du problème. Cela peut être trop fastidieux et trop compliqué, donc si vous n'avez pas de logiciel capable de le faire (et ils coûtent une fortune), vous devrez le faire manuellement.

Dans le cas où le point 3 a résolu le problème, il va encore falloir analyser le web pour chercher des choses étranges. On peut le faire plus sereinement, en étant sûr qu'une grande partie du problème a été résolu.

Étape 5 – Supprimez les informations étranges de Google.

Dans Google, il apparaîtra pendant un certain temps toutes les URL qui ont été générées. C'est là qu'il faut mettre beaucoup d'emphase, car, si on peut faire les étapes précédentes très rapidement, faire disparaître ce qui a été indexé dans Google est assez compliqué.

C'est pourquoi je vais mettre quelques lignes directrices pour que les pages piratées soient désindexées de Google.

Comment supprimer le contenu piraté de Google ?

Si nous avons strictement respecté les 4 étapes précédentes, lors de la restauration d'une copie de sauvegarde, toutes ces pages qui apparaissent dans Google et qui ont été injectées par le pirate seront en erreur 404. A partir de là, plusieurs conseils :

• Ne pas avoir de pages avec des erreurs 404 redirigées vers d'autres. Il existe des plugins qui redirigent les erreurs 404 vers une autre page du site. Cela indique à Google que la page sur laquelle la page de piratage n'existe plus et redirige vers une autre page du site Web. Mais il faudra beaucoup de temps à Google pour désindexer une redirection 301 et il la conservera toujours sur la liste.
• Mettez les pages piratées avec le statut 410. Cela n'aide vraiment pas beaucoup, puisque, d'après mon expérience, Google va faire la même chose.
• Supprimer temporairement sur Google. Google dispose d'un outil pour supprimer temporairement le contenu répertorié. Le problème est qu'il est supprimé pendant 90 jours, et après 90 jours, il réapparaît si vous ne faites rien d'autre. Mais c'est une bonne option pour éviter de générer une mauvaise image. On peut le faire 1 à 1, ou tous en même temps, en sortant la liste. Vous pouvez me demander sur Twitter comment obtenir la liste des pages piratées.
• Faire apparaître les pages piratées avec une erreur 50x. Les erreurs de serveur sont drastiques pour la désindexation. Si Google parcourt l'URL plusieurs fois et constate qu'il y a une erreur de serveur, il désindexera l'URL très bientôt. Le problème est que cela peut amener Google à établir que votre site Web est le même, et vous pouvez avoir un problème avec le référencement. Cela ne devrait être fait que lorsque le nombre d'urls est très petit ou lorsque vous allez supprimer le domaine, mais que vous souhaitez profiter des informations.
• Ne bloquez pas Google. C'est un classique qui arrive habituellement. Si Google est empêché d'analyser les pages piratées (qui n'existent plus), vous ne pourrez voir aucun type de statut ou quoi que ce soit. Pourtant. Il est crucial de ne pas bloquer Google.

J'ai essayé d'aider plusieurs entreprises (gratuitement) et ce fut un désastre.

Profitant du fait que le site d'un client a été piraté, j'ai enquêté un peu plus et j'ai réalisé qu'il y avait beaucoup de pages qui étaient dans les mêmes conditions. Il y avait des pages d'entreprises et d'autres pages institutionnelles (mairies, universités…) J'ai donc décidé de prendre 10 entreprises qui avaient été piratées et de leur envoyer le mail suivant :

Et j'ai pris 10 centres institutionnels et je les ai appelés par téléphone. Les résultats étaient les suivants :

Sur les 10 appels que j'ai passés, je n'ai pu en contacter que 6 car ils ne m'ont pas transmis au responsable. Il y avait un conseil municipal (je ne dirai pas le nom) que lorsque j'ai parlé avec le responsable du service informatique, il m'a dit de passer par le registre pour signaler l'incident, et qu'ils n'étaient pas là pour répondre à la téléphone à n'importe qui, car si tous les citoyens de cette ville (capitale provinciale), s'ils appelaient pour parler, ils ne pourraient pas travailler… (oui, je suis aussi resté un peu comme ça, comme vous l'avez fait en le lisant).

Et les trois autres, ils étaient un peu timides, comme pour dire… ça se voyait venir… enfin, et alors ?… et des choses comme ça.

Mais le pire est venu avec les mails.

Sur les 10 e-mails que j'ai envoyés, le premier à répondre a pris environ 5 minutes. Il m'a eu au téléphone pendant environ 1 heure, et après 1 heure, il m'a même dit qu'il soupçonnait que le piratage avait été fait par moi – -Twittea – .

Après 3 mois, j'ai reçu la deuxième réponse. Dans ce cas, ils m'ont remercié de les avoir contactés car ils ont ainsi pu se rendre compte du problème qu'ils rencontraient et ont pu le résoudre.

Je pense qu'en Espagne aujourd'hui, on ne comprend pas que quelqu'un puisse faire quelque chose de désintéressé pour les autres, et c'est très triste parce que cela parle très mal de la personnalité que nous avons, du peu de confiance que nous avons les uns envers les autres et surtout du peu de confiance en êtres humains.

Je peux aider, ça ne me coûte pas de travail. Il m'a fallu plus de temps pour écrire le message que pour écrire l'e-mail d'avertissement. Mais prendre le mal au lieu de l'aide va de soi, je pense que c'est trop misérable pour cette société, en laquelle j'ai encore beaucoup de foi (oui, je délire, je sais).

qu'aurais-tu fait? – -Twitter –

Laissez-le dans les commentaires ou partagez-le sur Twitter