Des plugins WordPress avec un Virus SEO !

Antoine GénérauRéférencement & Contenu WebLeave a Comment

Hacker de site internet Wordpress

Wordpress a « éjecté » trois plugins frauduleux au cours du mois de décembre. Il n’est plus possible de télécharger ces plugins depuis la plateforme de WordPress à cause de leur dangerosité. Pourquoi sont-ils frauduleux ? Qui a fait ça ? Quels sont ces plugins ? Quels sont les risques ? Comment éviter d’être hacké ? Nous vous expliquons tout cela dans cet article.

Comment hackent-ils un site WordPress ?

L’intrusion se fait en passant par un plugin sain, préalablement installé sur le site. L’individu malintentionné injecte des lignes de codes dans le code initial du plugin qu’il a entre temps racheté de manière légale. Il peut alors passer outre les procédures d’authentification normales de votre site pour réaliser ses méfaits en toute tranquillité. 

Le hack en question a pour but de réaliser du « SEO spam » via les sites qui utilisent les plugins « infectés ». Des backlinks sont alors ajoutés aux dépens du propriétaire du site, dans le but de promouvoir le référencement d’autres sites. La technologie utilisée est assez ingénieuse(maléfique?) car difficilement identifiable. Plusieurs versions des pages du site infecté sont créées. Lorsque le visiteur est identifié comme un robot ou crawler, des backlinks sont affichés. Lorsque le visiteur est identifié comme un humain, c’est la page sans backlink qui est affichée. 

La question « Qui a fait ça » n’est pas encore totalement élucidée. Le hacker (ou les hackeurs) est passé par des sociétés « prête-nom » et a utiliser des alias tels que Leon Goodman. Son identité n’est donc pas encore établie. Une chose est sûre, c’est que les responsables gravitent dans ou autour la sphère SEO vu la nature des méfaits. De plus, c’est une société anglaise spécialisée dans le SEO qui a été utilisée pour réaliser certains paiements.  N’ayant aucune certitude quant à son implication, nous ne la citerons pas.

Quels sont les Plugins infectés ?

Duplicate-page-and-post

Le plugin est, selon les informations de WordPress, actif sur plus de 50 000 sites !!! D’après son nom, l’utilité de ce plugin est de dupliquer une page puis de la poster. Je vous laisse tout de suite aller regarder dans votre back-office qu’il n’est sur aucun de vos sites. Les versions corrompues du plugin semblent débuter à la 4.2.1. Mais par précaution, je vous conseille de remplacer ce plugin quelque soit la version.

Si vous avez quelques connaissances en développement Web, voici les lignes ajoutées dans un but frauduleux au code du plugin.

Code CSS permettant d’empêcher les piratages de plugin

WP No External Links

A l’heure ou cet article est écrit, le plugin est actif sur plus de 30 000 sites, d’après les informations fournies par WordPress. Il a été acheté par le « hacker » en Juillet 2017. Si vous possédez ce plugin et que votre version est antérieure à cette date, vous ne risquez normalement rien. Toutefois, par mesure de précaution, il est préférable que vous désinstalliez le plugin pour éviter tout problème. De plus, il y a fort à parier que vous ne pourrez pas avoir de mises à jour sûres avant un bon moment.

Pour les aficiondos du code, voici les lignes incriminées. 

Code CSS pour éviter des problèmes de piratage

No Follow All External Links

La portée de ce hack est moindre que les précédents, car « uniquement » 9 000 sites sont concernés. Néanmoins si vous faites partie de ces sites, il faut réagir vite. Acheté en Avril 2017 et probablement modifié dans la foulée. Le plugin en question affiche des backlinks pointant vers un ou plusieurs sites choisis, et cela uniquement pour les crawlers. 

Pour les mécanos du Web, voici les lignes de codes incriminées.

Code CSS pour mettre les liens en nofollow

Quels sont les risques pour votre site ?

Si un site réalise une quantité très importante de liens externes, il peut être considéré comme « spammer ». Lorsque les robots de Google ou des autres moteurs de recherche « crawlent » votre site, ils référencent le nombre de liens externes que votre site contient. Si ce nombre est trop important (certains disent plus de 100/page) votre site entre dans la catégorie « spammer » et perd ainsi sa notoriété. 

Outre la quantité de liens, la qualité des liens émanant de votre site peut affecter sa notoriété. Ainsi, si le virus fait en sorte que votre site pointe vers des sites à caractère pornographique, ou tout autre site douteux, le référencement de votre site en prendra un coup.

Si votre site possède un de ces plugins, vous êtes potentiellement exposé à l’un de ces deux risques, ou peut-être aux deux !

Comment éviter d’être hacké ?

La réponse habituelle est « Pensez a régulièrement mettre à jour vos plugins ainsi que WordPress ». Le souci c’est qu’ici c’est ce qui a entraîné le hack… Mais ne vous en faites pas, plusieurs solutions s’offrent à vous. La première est de suivre l’actualité Web/SEO/Sécurité. Vous pouvez ainsi vous mettre en place une veille personnelle afin d’être toujours au top de l’information. L’autre solution est de confier votre solution à un administrateur, qui s’il fait bien son travail, vous évitera ces soucis.

Si vous souhaitez aller plus loin sur le sujet, vous pouvez consulter ce site (en anglais) qui est la source d’une grande partie des informations de cet article.

Alors, avez-vous vérifiez que vous ne possédez pas ces plugins ? Si oui désinstallez-les au plus vite. N’hésitez pas à nous faire part, en commentaires, de vos questions. Par exemple seriez-vous intéressez pour avoir des suggestions de plugins fiables pour remplacer ces plugins vérolés ?

About the Author

Antoine Générau

Depuis plus de 10 ans, la piscine d'Antoine c'est Internet. Il y réalise des projets comme il fait des longueurs. Total autodidacte, ses connaissances il les a apprises à la force du poignet. Vous avez besoin d'un homme d'expérience ? Le voici.