Vous tapez site:votredomaine.fr dans Google et vous découvrez des centaines de pages en japonais que vous n'avez jamais créées. Des titres avec des caractères kanji, des meta descriptions de casinos en ligne, des URLs absurdes avec des paramètres aleatoires. Bienvenue dans le Japanese Keyword Hack — l'un des piratages les plus repandus et les plus destructeurs pour le SEO.
Ce type d'attaque touche principalement les sites WordPress, Joomla et Drupal avec des plugins obsoletes ou des mots de passe faibles. On l'a vu chez 3 clients en 2024-2025 — a chaque fois, la detection est venue trop tard. Ce guide est un protocole d'urgence.
Qu'est-ce que le Japanese Keyword Hack ?
Le piratage par mots-clés japonais est une technique de Black Hat SEO parasitaire. Un attaquant exploite une vulnerabilite de votre site pour :
- Injecter des centaines ou milliers de pages en japonais dans votre site (généralement via des fichiers PHP dans /wp-content/ ou des modifications de .htaccess)
- Cloaker le contenu : les pages injectees sont invisibles pour vous (elles ne s'affichent que pour Googlebot et les visiteurs japonais), mais parfaitement visibles pour Google
- Monetiser votre autorité de domaine : les pages redirigent vers des sites de contrefacon, casinos, pharmacies ou e-commerce frauduleux
Pourquoi "japonais" ? Parce que le marche japonais en ligne est enorme (4e mondial) et que les requetes en japonais sont moins surveillees par les webmasters occidentaux. Les attaquants profitent de votre Domain Authority pour ranker sur des mots-clés a forte valeur commerciale au Japon.
Comment détecter le piratage
Symptome 1 : Pages japonaises dans les SERPs
Tapez dans Google : site:votredomaine.fr
Si vous voyez des résultats avec des titres en japonais, des URLs bizarres (souvent avec ?p= ou des paths random), ou des meta descriptions mentionnant des produits de luxe/casinos/pharmacie — votre site est compromis.
Symptome 2 : Google Search Console alerte
GSC envoie une notification "Problèmes de sécurité" quand il détecté un piratage. Verifiez : GSC → Sécurité et actions manuelles → Problèmes de sécurité. Si vous voyez "Piratage avec injection d'URL" ou "Piratage par mots clés", c'est confirme.
Symptome 3 : Explosion du nombre de pages indexees
Si votre site a 50 pages et que GSC indique 5 000 pages indexees, c'est un signal fort. L'attaquant a injecte des milliers de pages spam.
Symptome 4 : Fichiers suspects sur le serveur
Connectez-vous en FTP/SSH et cherchez :
- Des fichiers PHP avec des noms aleatoires dans
/wp-content/,/wp-includes/ou a la racine - Des fichiers
.htaccessmodifies (règles de redirection conditionnelles par user-agent) - Des dossiers cachés (commencant par un point :
.caché,.tmp) - Des fichiers PHP contenant du code encode en base64 (signe de backdoor)
Diagnostic rapide en 5 minutes
| Vérification | Commande / Outil | Signal positif = piratage |
|---|---|---|
| Pages japonaises dans Google | site:votresite.fr dans Google | Résultats en japonais |
| Alerte GSC | GSC → Sécurité | "Problèmes de sécurité" présent |
| Pages indexees vs réelles | GSC → Couverture | 10x+ le nombre réel de pages |
| Fichiers suspects | FTP ou find /var/www -name "*.php" -newer /var/www/wp-config.php | Fichiers PHP récents non reconnus |
| .htaccess modifie | Comparer avec un .htaccess propre | Règles de redirection par user-agent |
Protocole de nettoyage
Étape 1 : Sauvegarder l'état actuel
Avant toute modification, faites une sauvegarde complète (fichiers + base de données). Même si le site est compromis, vous pourriez avoir besoin de la sauvegarde pour analyser l'attaque ou recuperer du contenu.
Étape 2 : Identifier le vecteur d'attaque
Les 3 vecteurs les plus fréquents :
| Vecteur | Fréquence | Comment vérifier |
|---|---|---|
| Plugin WordPress vulnerable | 60% | Vérifier les versions de tous les plugins dans /wp-content/plugins/ |
| Mot de passe admin faible | 25% | Vérifier les logs d'acces pour des connexions suspectes |
| Thème avec backdoor | 10% | Vérifier les fichiers du thème (surtout les thèmes pirates/nulled) |
| Serveur non patche | 5% | Vérifier la version PHP, les mises a jour serveur |
Étape 3 : Supprimer le code malveillant
Option A — Nettoyage manuel (expertise requise) :
- Comparer les fichiers du serveur avec une installation WordPress propre (même version)
- Supprimer tout fichier qui n'existe pas dans l'installation de référence
- Restaurer les fichiers core modifies (
wp-includes/,wp-admin/) - Nettoyer
.htaccess(remettre la version WordPress par défaut) - Chercher du code base64 :
grep -r "base64_decode\|eval(\|gzinflate\|str_rot13" /var/www/ - Vérifier les utilisateurs admin dans la BDD (l'attaquant en a peut-être créé un)
Option B — Restauration depuis un backup propre :
Si vous avez un backup datant d'avant le piratage, c'est la méthode la plus sure. Restaurez fichiers + BDD, puis mettez immediatement a jour WordPress, plugins et thèmes.
Option C — Plugin de sécurité :
Wordfence (gratuit) ou Sucuri (payant) peuvent scanner et nettoyer automatiquement les fichiers infectes. Moins fiable qu'un nettoyage manuel pour les backdoors sophistiquees, mais suffisant pour la majorite des cas.
Étape 4 : Sécuriser après nettoyage
- Changer TOUS les mots de passe (admin WP, FTP, base de données, hebergeur)
- Mettre a jour WordPress, TOUS les plugins, TOUS les thèmes
- Supprimer les plugins et thèmes inutilises (pas desactiver — supprimer)
- Installer un plugin de sécurité (Wordfence ou Really Simple Security)
- Activer 2FA sur tous les comptes admin
- Regenerer les clés de sécurité dans
wp-config.php(salt keys) - Changer les prefixes de table BDD si c'est
wp_(par défaut = cible facile)
Étape 5 : Nettoyer l'index Google
- Dans GSC, aller dans Sécurité → "Demander un examen" après nettoyage
- Supprimer les URLs spam via l'outil de suppression d'URL (temporaire, 6 mois)
- Soumettre un sitemap mis a jour (contenant uniquement vos pages legitimimes)
- Attendre 2-4 semaines pour que Google recrawle et retiré les pages spam
eval(), base64_decode(), preg_replace avec le flag /e, et les appels file_get_contents() vers des URLs externes.
Prevention : 8 mesures pour ne jamais être pirate
| # | Mesure | Effort | Impact |
|---|---|---|---|
| 1 | Mises a jour auto WordPress + plugins | 5 min setup | Bloque 60% des attaques |
| 2 | Mots de passe forts + 2FA | 10 min | Bloque 25% des attaques |
| 3 | Plugin sécurité (Wordfence/RSS) | 15 min | Detection + firewall |
| 4 | Backups automatiques (UpdraftPlus) | 10 min setup | Recovery garanti |
| 5 | Supprimer plugins/thèmes inutilises | 5 min | Réduit la surface d'attaque |
| 6 | Limiter les tentatives de login | 5 min (plugin) | Bloque brute force |
| 7 | SFTP au lieu de FTP | Config serveur | Empêche interception credentials |
| 8 | Monitoring GSC hebdomadaire | 5 min/semaine | Detection precoce |
Cas réel : un cabinet comptable pirate pendant 4 mois
Un de nos clients (cabinet comptable, 12 employes, Paris) nous a contacte après avoir découvert 2 300 pages en japonais indexees sur son domaine. Le piratage durait depuis 4 mois sans detection — parce que les pages spam étaient cloakees (invisibles en navigation directe).
Impact :
- Trafic organique : de 450 visites/mois a 80 (-82%)
- Message "Ce site peut être pirate" dans les SERPs
- 3 clients ont signale des alertes antivirus en visitant le site
Cause : plugin Contact Form 7 en version 5.3.2 (vulnerabilite de file upload connue, corrigée en 5.4). Le mot de passe admin était "cabinet2020".
Nettoyage : 6 heures de travail (identification de 47 fichiers PHP malveillants + 3 backdoors dans functions.php + .htaccess modifie). Restauration complète + securisation.
Recovery SEO : 8 semaines pour que Google retiré les 2 300 pages spam et restaure le trafic a 90% du niveau pre-piratage.
FAQ — Piratage mots-clés japonais
Mon site affiche des pages en japonais — est-ce toujours un piratage ?
Oui, a 99%. Si vous n'avez pas de contenu en japonais sur votre site et que Google en indexe, c'est un piratage par injection de contenu. Passez immediatement au protocole de nettoyage. Ce type d'attaque, fréquent depuis 2015, exploite des failles dans les CMS obsoletes (WordPress, Magento, Drupal) ou des plugins non mis a jour. Le pirate injecte des milliers de pages en japonais ou en caractères asiatiques, généralement orientees contrefacon de luxe, viagra ou casinos en ligne, pour detourner votre autorité au profit de son réseau. Le cas très rare des 1% restants concerne les sites multilingues qui avaient autrefois une version japonaise archivee, ou les sites hebergant du contenu génère par les utilisateurs sans modération. Dans tous les cas de doute, première action : scanner le serveur, vérifier les fichiers modifies récemment et inspecter la base de données. Un piratage non traité entraîne en moyenne 60 a 80 pourcent de perte de trafic organique.
Combien de temps pour nettoyer un site pirate ?
Le nettoyage technique prend 2 a 8 heures selon la gravite. La recovery SEO (retrait des pages spam de l'index Google) prend 2 a 8 semaines. Le trafic retrouve généralement 80 a 100% de son niveau pre-piratage sous 3 mois. La phase technique couvre : scan complet du serveur, suppression des fichiers injectes, nettoyage de la base de données, mise a jour du CMS et des plugins, changement de tous les mots de passe et installation d'un firewall applicatif (Wordfence, Sucuri, Cloudflare WAF). La phase SEO demande plus de patience. Il faut soumettre un sitemap propre a Google Search Console, demander la suppression des URLs piratees et souvent initier un reexamen si un avertissement de sécurité a été affiche. La reprise totale suppose aussi que les backlinks toxiques generes pendant le piratage soient desavoues. Pour les sites qui tardent a reagir (plus de 30 jours), la recovery peut prendre 4 a 6 mois.
Est-ce que Google va penaliser mon site après un piratage ?
Google ne penalise pas les victimes de piratage. Une fois le site nettoye et l'examen de sécurité approuvé dans GSC, le flag "site pirate" est retiré. Vos positions reviennent progressivement. En revanche, plus le piratage dure longtemps, plus la recovery est lente. Google distingue clairement la responsabilité du proprietaire et celle du pirate : le moteur sanctionne le contenu spam injecte en le desindexant, mais ne degrade pas durablement la réputation du domaine légitime tant que le nettoyage est réalisé dans des delais raisonnables. L'avertissement "Ce site peut être pirate" disparait en général 7 a 14 jours après validation du reexamen. Un site pirate pendant moins de 30 jours recupere 90 a 100 pourcent de son trafic organique dans les 3 mois suivant le nettoyage. Un site laisse contamine plusieurs mois peut perdre durablement des positions. La vitesse de reaction est le facteur le plus determinant.
Faut-il changer de nom de domaine après un piratage ?
Non. Le domaine n'est pas "grille" aux yeux de Google. Nettoyez, securisez, demandez un examen GSC. Changer de domaine serait bien pire — vous perdriez toute votre autorité accumulee. Concrètement, votre historique de backlinks, votre anciennete de domaine et vos signaux de confiance representent souvent plusieurs années d'efforts SEO. Partir sur un nouveau domaine, c'est accepter de reconstruire une réputation que Google met en moyenne 6 a 18 mois a établir pour un site commercial. Les cas ou un changement se justifie sont rares : penalite manuelle irrattrapable, domaine associe a un ancien spam massif anterieur a votre rachat, ou exposition média négative durable. Pour un piratage standard nettoye rapidement, le domaine reprend sa place dans les SERPs en 2 a 3 mois. La bonne stratégie reste : nettoyer, auditer la sécurité, demander le reexamen et surveiller pendant 90 jours.
Un hebergeur peut-il empêcher ce type de piratage ?
Partiellement. Les hebergeurs managed WordPress (Kinsta, WP Engine, o2switch managed) appliquent des patchs de sécurité automatiquement et bloquent certaines attaques au niveau serveur. Mais la responsabilité principale reste sur vous : mises a jour, mots de passe forts, plugins sécurisés. Un hebergement premium apporté trois couches de protection : un WAF (Web Application Firewall) qui filtre les requetes suspectes, un scan antimalware quotidien qui détecté les fichiers injectes, et une isolation des sites qui empêche un site pirate d'en contaminer d'autres. Ces dispositifs reduisent l'exposition mais ne suppriment pas le risque. La majorite des piratages par mots-clés japonais s'introduisent par des vecteurs que l'hebergeur ne peut pas bloquer : plugin obsolete, compte admin avec mot de passe faible, thème gratuit verole, ou fuite d'identifiants via phishing. En moyenne, 70 pourcent des piratages WordPress viennent d'un plugin ou thème non maintenu depuis plus de 6 mois.
Les sites non-WordPress sont-ils concernes ?
Oui, mais beaucoup moins. Le Japanese Keyword Hack cible majoritairement WordPress (80%+ des cas) a cause de sa popularité et de l'ecosysteme de plugins mal maintenus. Joomla et Drupal sont aussi touches, mais plus rarement. Les sites statiques (Next.js, Hugo, Jekyll) sont pratiquement immunises.
Votre site a été pirate ? On intervient en urgence : nettoyage, securisation et recovery SEO. Contactez-nous maintenant — chaque jour compte.