Votre site apparaît sur Google avec des titres en japonais ? Vous êtes probablement victime d’un Japanese Hack.
Depuis plusieurs années, le Japanese Hack est l’une des attaques les plus répandues sur WordPress. Contrairement à d’autres formes de piratage visant à rendre un site inaccessible ou à voler des données, celui-ci a un objectif bien précis : détourner votre référencement naturel pour promouvoir des sites tiers.
Le problème ? La plupart des propriétaires de sites ne s’en rendent compte que plusieurs semaines, voire plusieurs mois après l’intrusion.
Nous avons récemment accompagné plusieurs entreprises confrontées à ce type d’attaque. Voici ce qu’il faut savoir pour comprendre son fonctionnement, identifier les symptômes et surtout éviter qu’il ne se reproduise.
Qu’est-ce que le Japanese Hack ?
Le Japanese Hack est une technique de piratage SEO consistant à injecter dans votre site des milliers de pages, liens ou contenus cachés destinés à être indexés par Google.
Les pirates utilisent votre réputation et votre autorité SEO pour améliorer le référencement de sites qu’ils contrôlent.
Dans la majorité des cas, les contenus injectés concernent :
- Des médicaments
- Des produits contrefaits
- Des sites de paris
- Des boutiques asiatiques
- Des produits à forte marge
Les pages générées sont souvent rédigées en japonais, chinois ou coréen, d’où le nom de “Japanese Hack”.
Pourquoi les pirates ciblent-ils votre site ?
La réponse est simple : parce que votre site possède déjà une certaine crédibilité auprès de Google.
Un site :
- ancien,
- régulièrement mis à jour,
- disposant de backlinks,
- bénéficiant d’une bonne autorité,
représente une opportunité intéressante pour les cybercriminels.
L’objectif n’est pas de vous nuire personnellement.
Votre site devient simplement un support destiné à améliorer le référencement d’autres plateformes.
Comment les pirates s’introduisent-ils dans WordPress ?
Dans la majorité des cas, l’intrusion se produit via :
Un plugin vulnérable
C’est aujourd’hui la première cause d’infection.
Un plugin non mis à jour peut contenir une faille permettant :
- l’exécution de code à distance,
- l’upload de fichiers malveillants,
- la création d’utilisateurs administrateurs.
Un thème vulnérable
Les thèmes premium téléchargés hors des circuits officiels sont particulièrement concernés.
Des identifiants compromis
Mot de passe faible, réutilisé sur plusieurs sites ou récupéré lors d’une fuite de données.
Un hébergement mal sécurisé
Permissions trop permissives, absence de protection côté serveur ou version PHP obsolète.
Les symptômes les plus fréquents
Le Japanese Hack est souvent discret.
Parmi les signes d’alerte les plus fréquents :
Apparition de nouveaux administrateurs
Vous découvrez soudainement un utilisateur administrateur inconnu.
Parfois, même après sa suppression, celui-ci réapparaît quelques heures ou quelques jours plus tard.
Fichiers PHP inconnus
Des fichiers aux noms étranges apparaissent :
- aa16.php
- bless28.php
- wp-conf.php
- live_editor.php
- update.php
Ces noms changent constamment afin d’échapper aux détections.
Répertoires suspects
On retrouve fréquemment :
- .well-known
- uploads
- languages
- mu-plugins
- upgrade
- cache
Les pirates privilégient ces emplacements car ils sont souvent ignorés lors des vérifications manuelles.
Modifications nocturnes
Les dates de modification des fichiers reviennent souvent entre 2h et 5h du matin.
Il s’agit généralement de scripts automatisés.
Pages en japonais dans Google
La recherche suivante permet souvent de détecter le problème :
site:votredomaine.fr
Vous découvrez alors des centaines de pages dont les titres sont rédigés en japonais.
Chute du trafic SEO
Google détecte progressivement le contenu frauduleux et réduit sa confiance envers le domaine.
Pourquoi supprimer les fichiers ne suffit pas ?
C’est l’erreur la plus fréquente.
Beaucoup d’administrateurs :
- Suppriment les fichiers suspects.
- Suppriment les utilisateurs inconnus.
- Pensent le problème résolu.
Quelques jours plus tard, les fichiers réapparaissent.
Pourquoi ?
Parce que le véritable point d’entrée est toujours présent.
Cela peut être :
- un plugin vulnérable,
- une porte dérobée (backdoor),
- une tâche planifiée,
- un script caché dans un fichier légitime.
Tant que cette faille subsiste, l’attaquant peut revenir à volonté.
Les conséquences SEO
À court terme
Google continue souvent d’indexer le site normalement.
Le propriétaire ne remarque rien.
À moyen terme
Les effets deviennent visibles :
- baisse des positions SEO,
- perte de trafic,
- dilution de l’autorité du domaine,
- indexation de milliers d’URL parasites.
À long terme
Google peut :
- désindexer certaines pages,
- afficher un avertissement de sécurité,
- considérer le domaine comme compromis.
La reconstruction de la confiance peut alors prendre plusieurs mois.
Comment nettoyer correctement un site infecté ?
Une désinfection sérieuse passe généralement par plusieurs étapes.
1. Sauvegarder l’ensemble du site
Avant toute intervention :
- fichiers,
- base de données,
- configuration serveur.
2. Identifier les fichiers modifiés
Comparer les répertoires WordPress avec une version officielle :
- wp-admin
- wp-includes
Ces dossiers ne devraient normalement contenir aucun fichier personnalisé.
3. Rechercher les backdoors
Les pirates utilisent souvent :
- base64_decode
- eval
- gzinflate
- str_rot13
- shell_exec
Une analyse approfondie est indispensable.
4. Vérifier les utilisateurs
Contrôler :
- les administrateurs,
- les comptes éditeurs,
- les comptes créés récemment.
5. Contrôler la base de données
Vérifier :
- options WordPress,
- utilisateurs,
- contenus injectés,
- tâches planifiées.
6. Mettre à jour l’ensemble du site
- WordPress
- thèmes
- extensions
- PHP
7. Modifier tous les mots de passe
- WordPress
- FTP
- hébergement
- base de données
- comptes administrateurs
Comment éviter que cela se reproduise ?
Le risque zéro n’existe pas.
En revanche, il est possible de réduire considérablement la surface d’attaque.
Installer un pare-feu applicatif
Des solutions comme Wordfence permettent :
- de bloquer certaines attaques automatisées,
- de détecter les modifications de fichiers,
- d’analyser les vulnérabilités connues.
Limiter les extensions
Chaque plugin supplémentaire augmente potentiellement la surface d’exposition.
Activer l’authentification à deux facteurs
Particulièrement pour les comptes administrateurs.
Réaliser des sauvegardes automatiques
Avec conservation sur un espace externe.
Surveiller Google Search Console
Une hausse soudaine du nombre de pages indexées est souvent un signal d’alerte.
Mettre en place une supervision régulière
Analyse des journaux :
- FTP
- HTTP
- erreurs PHP
- connexions administrateur
La maintenance WordPress : une dépense ou une assurance ?
De nombreux dirigeants considèrent encore la maintenance comme une dépense facultative.
Pourtant, un site WordPress est un logiciel vivant :
- WordPress évolue ;
- les plugins évoluent ;
- les failles sont découvertes quotidiennement.
Une maintenance sérieuse comprend :
- les mises à jour,
- les sauvegardes,
- la surveillance de sécurité,
- les contrôles SEO,
- les tests de restauration.
Le coût d’une maintenance annuelle est généralement bien inférieur à celui d’une désinfection complète, sans parler de la perte de visibilité ou de chiffre d’affaires.
Conclusion
Le Japanese Hack est l’un des piratages les plus sournois du web. Il agit souvent dans l’ombre pendant plusieurs semaines avant que les premiers symptômes n’apparaissent.
La suppression de quelques fichiers ne suffit généralement pas. Une analyse approfondie est nécessaire pour identifier la faille initiale et éliminer toutes les portes dérobées laissées par l’attaquant.
La meilleure protection reste aujourd’hui une combinaison de bonnes pratiques :
- mises à jour régulières,
- surveillance proactive,
- sauvegardes automatiques,
- maintenance WordPress professionnelle.
Un site internet n’est jamais définitivement terminé. Comme n’importe quel outil stratégique pour l’entreprise, il doit être entretenu pour rester performant, visible et sécurisé.
