Page piratée avec des liens cachés｜Comment résoudre la chute du classement Google

Si votre site est soudainement infecté par des liens cachés (aussi appelés “liens noirs”), les conséquences peuvent être graves : dans le meilleur des cas, votre classement Google s’effondre ; dans le pire, votre site est marqué comme “dangereux” et complètement blacklisté.

La plupart des webmasters ne s’en rendent compte qu’après avoir raté la période critique — supprimer des pages ou couper le serveur dans la panique ne fait qu’aggraver la situation.

Avec 8 ans d’expérience terrain en SEO, nous avons géré plus de 60 cas d’infection par liens noirs. Cela nous a permis de créer un processus standardisé de “Limitation des dégâts en 72h + récupération rapide du ranking”.

De la détection précise des emplacements (comme repérer les redirections cachées avec Screaming Frog), au nettoyage manuel suivi de la soumission de preuves à Google (modèle de demande de réexamen inclus), jusqu’à la publication ciblée de “contenus de confiance” pour diluer l’impact des liens toxiques — chaque étape doit respecter 3 délais critiques : 24h / 3 jours / 7 jours.

Attention : si le classement de vos mots-clés principaux a chuté de plus de 10 places ces 7 derniers jours, et si vos pages indexées contiennent des paramètres du type “?redirect=casino”, il est très probable que votre site ait été piraté. Passez immédiatement à la première étape du diagnostic.

Votre site a-t-il vraiment été infecté par des liens noirs ?

Les liens noirs ne déclenchent pas de fenêtres pop-up ni ne bloquent immédiatement votre site — c’est précisément ce qui les rend si dangereux.

De nombreux webmasters ne s’aperçoivent du problème qu’après une chute de plus de 50 % dans les résultats Google. À ce stade, les liens sont souvent présents depuis des semaines, et Google peut déjà avoir classé votre site comme “malveillant”.

Dans 70 % des cas que nous avons traités, les liens cachés se trouvent dans des dossiers d’images, des anciens articles ou des scripts JS — donc très difficiles à repérer à l’œil nu.

Je vais vous montrer une méthode de vérification à coût zéro (sans aucune base en code) pour identifier ces “liens parasites” en 10 minutes.

Google Search Console : repérer les alertes officielles

• Allez dans « Sécurité et actions manuelles » → « Actions manuelles ». Si vous voyez des alertes rouges telles que “Liens non naturels” ou “Pages piratées”, il est fort probable que votre site soit compromis.
• Méfiez-vous des faux positifs : certains hackers masquent les alertes. Cliquez sur « Problèmes de sécurité » → « Afficher les pages exemples », puis vérifiez manuellement si les URLs comportent un code de redirection (ex. : <meta http-equiv="refresh" content="0;url=site-de-jeux">).

Outils pour webmasters : scanner les redirections cachées

Utilisez Screaming Frog (version gratuite : 500 URLs) pour crawler l’ensemble du site, et cherchez :

1. Pages avec nombre anormal de liens sortants (si une page a plus de 10 liens externes, attention)
2. Liens avec “style=display:none” (examinez le code : <a href="casino" style="display:none">)
3. Pages chargeant des scripts JS de domaines inconnus (<script src="http://domaine-inconnu.js">)

Vérification rapide : avec l’extension Chrome Link Redirect Trace, vous pouvez suivre en direct si une page redirige vers un site de jeu par un 301.

Index Google : détecter les “pages fantômes”

Dans la barre de recherche Google, tapez :

site:votredomaine.com intitle:casino/lotto/porno  
site:votredomaine.com inurl:.php?ref=

Si des pages apparaissent avec des contenus que vous n’avez jamais créés (ex. : “bonus casino en ligne”), c’est que le hacker a généré des pages spam.

Vérification ultime : ouvrez les logs de votre serveur (chemin : /var/log/apache2/access.log) et recherchez le mot-clé “.php?” pour voir les IP suspectes (ex. : requêtes POST massives depuis le Vietnam ou l’Ukraine).

Astuce : si les liens se concentrent dans /wp-content/uploads/2023/, les hackers ont peut-être utilisé une faille d’upload. Vérifiez si les noms de fichiers contiennent du code malveillant comme <?php eval().

3 étapes pour éliminer définitivement les liens noirs

Attention : les 72 premières heures sont cruciales pour limiter les dégâts. Beaucoup de webmasters paniquent, effacent tout ou réinstallent le système, ce qui entraîne une deuxième pénalité de Google due aux fluctuations de contenu.

Après plus de 60 cas traités, notre règle d’or : “collecter des preuves avant de nettoyer, réparer pendant que vous déclarez”.

1. Sauvegarde complète : pour éviter toute perte de données

Dossiers à sauvegarder impérativement :

• /wp-content/uploads/ (inspectez si des images contiennent du code PHP)
• /wp-includes/js/ (vérifiez si des fichiers comme jquery-migrate.min.js ont été modifiés)

Outils recommandés :

• Utilisez le panneau de gestion BaoTa pour créer une archive complète (inclut la base de données)
• Utilisez le plugin Duplicator pour générer une copie de l’ensemble du site (les fichiers cache seront ignorés automatiquement)

2. Suppression manuelle du code malveillant (avec indicateurs à haut risque)

Recherchez globalement les mots-clés suivants：

eval(base64_decode('chaîne chiffrée'));
 $k="mot de passe hacker";error_reporting(0);
<iframe src="http://domaine-malveillant" style="visibility: hidden;">  

Fichiers à vérifier en priorité：

• .htaccess (regardez s’il contient une ligne comme RewriteRule ^.*$ http://site-de-paris [R=301,L])
• header.php/footer.php (vérifiez les appels JS suspects, par ex. document.write(""))

Outils complémentaires：

Utilisez D-Shield (D_Safe) pour scanner le serveur, il signale automatiquement les fichiers contenant des fonctions dangereuses comme system() ou passthru().

3. Boucher les failles : empêcher une nouvelle injection

• Modifier l’URL de connexion admin (pour WordPress) :
  Installez le plugin WPS Hide Login pour changer /wp-admin/ par une URL personnalisée (par exemple /mylogin-2024/).
• Corriger les failles critiques :
  • Mettez tous les plugins à jour (utilisez WPScan pour identifier ceux avec des failles connues)
  • Supprimez les thèmes et plugins inutilisés (surtout ceux aux noms suspects comme wp-seo-optimize)
• Renforcer les permissions serveur :
  bash

  Copier

  # Interdire l'exécution de fichiers PHP dans le dossier uploads
  find /chemin/du/site/wp-content/uploads/ -type f -name "*.php" -exec rm -f {} \;
  chmod 644 .htaccess  # Restreindre les droits d’écriture  

Conseil essentiel : après le nettoyage, utilisez immédiatement le plugin Link Redirect Trace pour scanner tout le site et vous assurer qu’il ne reste aucun code de redirection.
Si vous découvrez des liens cachés stockés dans la base de données (comme du code chiffré dans le champ post_content de la table wp_posts), utilisez l’outil Adminer pour exécuter cette commande SQL :

UPDATE wp_posts SET post_content = REPLACE(post_content, 'code malveillant', '');

Soumettre une demande de réexamen à Google

Supprimer les liens cachés n’est que la première étape.
Ce qui compte le plus pour retrouver votre positionnement, c’est de soumettre une demande de réexamen efficace dans les 48 heures.

90 % des webmasters échouent parce qu’ils manquent de preuves ou utilisent une mauvaise formulation, ce qui peut déclencher une seconde inspection manuelle (et retarder le retour à la normale de 3 à 6 mois).

Je fournis un modèle de message en anglais réutilisable et un pack de preuves solides qui peut augmenter vos chances de réussite de 80 %.

1. Soumettre un réexamen de “mesures manuelles” dans la Search Console

Étapes :
Allez dans « Sécurité et actions manuelles » → « Actions manuelles » → Cliquez sur “Demander un réexamen”.

Modèle de message (en anglais) (remplacez les parties en rouge) :

We have removed all spammy backlinks injected by hackers:  
1. Deleted malicious codes in .htaccess and footer.php (see screenshot_1.png).  
2. Blocked 142 suspicious IPs from Vietnam/Ukraine (access.log attached).  
3. Fixed the vulnerability via updating plugins (e.g. Elementor from 3.6 to 3.19).  
Request to revoke the manual penalty.  

Pièces jointes obligatoires :

1. Captures d’écran comparant le code avant/après nettoyage (utilisez WinMerge pour les comparer)
2. Extrait de journal montrant les IPs malveillantes bloquées (incluant heure, IP et chemin d’attaque)
3. Rapport d’analyse des backlinks avec Screaming Frog (export en PDF)

2. Gérer également les “problèmes de sécurité”
Allez dans « Problèmes de sécurité » → Cochez toutes les pages concernées → Cliquez sur “Marquer comme corrigé”.

Astuce pour accélérer l’exploration :
Dans l’outil « Inspection d’URL », entrez les URL affectées → Cliquez sur “Demander une indexation” (maximum 50 soumissions par jour).

3. Conseils cachés pour éviter un échec de la demande

• Évitez les phrases comme “We apologize” (Google pourrait penser que vous rejetez la faute), utilisez des descriptions factuelles à la place.
• Ajoutez un rapport de sécurité d’un service tiers (comme un scan de Sucuri ou SiteCheck) pour prouver que le site est désormais propre.

Mettez à jour votre contenu :

Publiez deux nouveaux articles originaux dans les 24h suivant la demande de réexamen (Google y verra un signe de maintenance active).

Conseil important :
Si vous n’avez pas de réponse après 7 jours, allez dans “Apparence dans les résultats de recherche → Accélérer l’exploration” pour soumettre votre sitemap.xml, et ajoutez dans la note :
« Malware cleaned up, please recrawl critical pages like /contact-us/ and /blog/ ».

Si l’avertissement “mesures manuelles” n’est toujours pas levé, refaites une demande après 28 jours avec les mêmes preuves (évitez toute détection comme spam).

Liste d’outils de protection à petit budget

Penser que “protéger un site coûte cher” est une erreur classique — 80 % des attaques viennent de failles basiques :
plugins non mis à jour, mots de passe faibles, accès admin par défaut.

Nous avons aidé nos clients à bloquer plus de 20 000 attaques avec un budget annuel de moins de 500 RMB.

Même avec un niveau technique basique, vous pouvez sécuriser l’ensemble de votre site en une heure.

1. Les 3 indispensables de protection (gratuits)

Surveillance en temps réel des fichiers :

• Utilisez la fonction « protection des fichiers » dans le panneau BaoTa (gratuite) pour verrouiller les fichiers critiques comme wp-config.php ou .htaccess. Toute modification déclenche une alerte SMS.

Blocage des tentatives de brute-force :

• Installez Wordfence (version gratuite) → Activez la surveillance en temps réel → Les IPs ayant échoué plus de 5 connexions en 15 min sont automatiquement bloquées.

Sauvegarde automatique dans le cloud :

• Utilisez UpdraftPlus pour programmer des sauvegardes quotidiennes vers Google Drive (conservez les 7 dernières versions). En cas d’intrusion, vous pouvez restaurer facilement une version propre.

2. Paramètres critiques du serveur à modifier absolument

Désactiver les fonctions PHP dangereuses：

Éditez le fichier php.ini et ajoutez ceci après disable_functions :

system,exec,passthru,shell_exec,proc_open,curl_multi_exec  

Limiter les permissions du dossier d’upload :

# Interdire l’exécution de PHP dans /uploads/  
find /chemin-du-site/wp-content/uploads/ -type f -name "*.php" -delete  
chmod -R 755 /chemin-du-site/wp-content/uploads/  

Masquer les infos du serveur :
Ajoutez ceci en haut du fichier .htaccess :

ServerSignature Off  
Header unset X-Powered-By  

3. Règles de pare-feu (coût mensuel ≤ 20 $)

Configuration de l’offre gratuite Cloudflare :

• Règle 1 : Mettre un challenge sur toute requête contenant /wp-admin/ ou xmlrpc.php (sauf IP en liste blanche)
• Règle 2 : Bloquer les User-Agent contenant sqlmap ou nmap

Bloquer les plages d’IP de pays à haut risque :

Ajoutez les règles suivantes dans le pare-feu de l’interface Baota :

Vietnam : 14.224.0.0/11  
Russie : 46.161.0.0/18  
Ukraine : 37.52.0.0/14  

Astuce importante : chaque trimestre, faites une analyse de vulnérabilités avec WPScan (commande : wpscan --url votre-domaine --api-token votre-clé), et corrigez en priorité les plugins présentant un risque moyen ou élevé.
Si vous utilisez un serveur Nginx, pensez à ajouter ceci dans la configuration :

location ~* ^/(uploads|wp-content)/.*\.(php|php5|phtml)$ {  
    deny all;  
}  

(Cela empêche totalement l’exécution de code PHP caché dans des images.)

Ne comptez pas sur les “plugins de réparation automatique” — nous avons testé 13 plugins de sécurité populaires, et 9 d’entre eux avaient des droits excessifs ou supprimaient des fichiers à tort.
Faire la config à la main (comme les règles .htaccess ou les permissions serveur) reste la seule vraie méthode fiable.