Vous tapez votre nom sur Google et là, l'horreur : votre site ressort avec des dizaines de pages en japonais, des mots-clés de médicaments, ou des suites de mots incohérentes. Ou bien un client vous signale un avertissement rouge « Ce site peut avoir été piraté ». Pourtant, quand vous ouvrez votre site, il a l'air… normal. Bienvenue dans le monde déroutant du SEO spam - la forme de piratage la plus répandue, la plus sournoise, et la plus mal comprise.
Cet article fait le tour complet du sujet : ce que c'est, tous les cas qui peuvent se produire (du plus fréquent au plus rare), comment chacun fonctionne, comment les détecter, et surtout comment s'en débarrasser durablement - parce que nettoyer sans fermer la porte d'entrée ne sert à rien.
Le point commun de tous ces hacks : parasiter votre autorité
Avant de détailler les variantes, comprenez l'objectif, car il éclaire tout le reste. Ces piratages n'ont rien de personnel et ne cherchent pas à détruire votre site. Ils cherchent à voler la réputation de votre domaine auprès de Google.
Un site qui existe depuis des années a accumulé de la confiance aux yeux de Google : c'est un capital. Les pirates injectent des milliers de pages spam sur votre domaine pour que ces pages héritent de votre crédibilité et remontent dans les résultats de recherche - vers des boutiques de contrefaçon, des pharmacies illégales, des sites de jeux d'argent ou des arnaques. Votre site devient, à votre insu, un panneau publicitaire géant pour leurs activités.
Le nom technique de cette famille : le spamdexing (contraction de spam et indexing), ou plus simplement SEO spam. Toutes les variantes ci-dessous en sont des déclinaisons.
La différence cruciale avec le « defacement »
Beaucoup confondent le SEO spam avec le defacement (défiguration). Ce sont des contraires :
- Le defacement est voulu visible : le pirate remplace votre page d'accueil par un message de revendication (« Hacked by… »). Il veut que ça se voie. C'est spectaculaire mais souvent moins grave - vous le découvrez immédiatement.
- Le SEO spam est conçu pour rester invisible de vous le plus longtemps possible. C'est précisément ce qui le rend dangereux : il agit dans l'ombre pendant des mois, et quand vous le découvrez, les dégâts SEO sont déjà profonds.
Le mécanisme secret : le « cloaking »
Voici l'élément qui explique pourquoi vous ne voyez rien alors que Google voit des milliers de pages spam. Ça s'appelle le cloaking (camouflage), et c'est la signature de ces attaques.
Le code malveillant injecté dans votre site affiche un contenu différent selon le visiteur :
- Au robot de Google : il sert les milliers de pages spam, bien optimisées pour ranker.
- À vous, propriétaire connecté en admin : il sert votre site normal. Tout va bien, en apparence.
- Au visiteur qui clique depuis Google : il sert la page spam ou le redirige.
C'est pour ça que la pire erreur est de se fier à ce que vous voyez en naviguant. Pour débusquer ces hacks, il faut regarder par les yeux de Google - on y revient plus bas.
À quoi ressemble une infection, dans la vraie vie
Pour rendre tout ça concret, voici le déroulé typique d'un cas - celui que je vois revenir le plus souvent en intervention :
Semaine 0. Un plugin de réservation, pratique mais plus mis à jour depuis un an, contient une faille connue. Un robot la trouve automatiquement en balayant le web (les pirates ne vous ciblent pas : ils scannent des millions de sites). En quelques secondes, un fichier malveillant est déposé sur le serveur.
Semaines 1 à 8. Rien ne se voit. Le site fonctionne normalement, le propriétaire ne remarque rien. En coulisses, le script génère lentement des milliers de pages en japonais et les soumet à Google via un sitemap caché. Le cloaking fait que même en visitant son site, le propriétaire ne voit que son contenu habituel.
Semaine 9. Google commence à indexer les pages spam. Le trafic « bizarre » apparaît dans les statistiques : des visiteurs venus de recherches en japonais. Le propriétaire ne consulte pas ses statistiques, il ne voit toujours rien.
Semaine 12. Coup de tonnerre : un client appelle, gêné - « votre site m'a envoyé vers une boutique de fausses montres ». Le propriétaire tape son nom sur Google et découvre l'ampleur des dégâts : son site est devenu une plateforme de contrefaçon, et un avertissement rouge s'affiche. Ses vraies positions, elles, ont commencé à chuter.
Ce scénario illustre les trois vérités du SEO spam : il entre par une faille banale, il agit invisiblement pendant des semaines, et on le découvre trop tard, par hasard. D'où l'importance capitale de la détection proactive et de la prévention, plutôt que de la réaction.
Qui se fait pirater ? (indice : pas qui vous croyez)
Beaucoup pensent « mon site est trop petit pour intéresser un pirate ». C'est une erreur de raisonnement : personne ne vous cible. Des robots scannent en permanence l'intégralité du web à la recherche de failles connues, sans distinction. Un blog de quartier, un site associatif et une PME passent dans le même filet. Le seul critère qui compte, c'est : votre site a-t-il une faille ouverte ? Un petit site négligé est une proie plus facile qu'un gros site entretenu - la taille ne vous protège pas, l'entretien si.
Les cas qui peuvent se produire (du plus fréquent au plus rare)
Passons en revue chaque forme de SEO spam. Je les ai classées par fréquence réelle constatée sur le terrain, en commençant par celles que vous avez le plus de risques de rencontrer.
Cas n°1 : le Japanese Keyword Hack - Fréquence : très élevée
C'est LE cas le plus courant, et probablement celui qui vous amène ici. Google lui a même donné un nom officiel dans sa documentation : Japanese keyword hack.
Ce qui se passe : le pirate génère automatiquement des milliers de pages sur votre domaine, remplies de texte en japonais et de liens vers des boutiques vendant de la contrefaçon (fausses marques de luxe, surtout). Ces pages apparaissent dans Google sous votre nom de domaine, avec des titres en caractères japonais que vous ne comprenez pas.
Les signes typiques :
- Dans Google,
site:votredomaine.frrenvoie des pages en japonais que vous n'avez jamais créées. - La Search Console signale une explosion soudaine du nombre de pages indexées : vous aviez 15 pages, il y en a 8 000.
- Google vous envoie une action manuelle (« Le site comporte du contenu piraté ») ou affiche l'avertissement rouge.
- Un fichier sitemap inconnu apparaît, souvent nommé de façon aléatoire.
Pourquoi le japonais ? Aucune raison particulière liée au Japon - c'est juste un marché de contrefaçon lucratif et un kit d'attaque très répandu. La même mécanique existe en chinois, en coréen ou en russe : c'est exactement le même hack, seule la langue change.
Cas n°2 : le Pharma Hack - Fréquence : très élevée
L'autre grand classique, presque aussi fréquent. Pharma parce qu'il vend des médicaments - Viagra, Cialis et compagnie - sans ordonnance, via des pharmacies en ligne illégales.
Ce qui se passe : votre site se met à ressortir sur Google avec des titres et des descriptions du type « Buy Cheap Viagra Online » accolés à votre nom de domaine. Là encore, vous ne voyez généralement rien sur votre site lui-même : le contenu pharmaceutique est servi uniquement aux robots et aux visiteurs venant de Google (cloaking).
Les signes typiques :
- Les descriptions de vos pages dans les résultats Google parlent de médicaments.
- Des mots comme « viagra », « cialis », « pharmacy » apparaissent dans le code source de vos pages alors qu'ils n'ont rien à y faire.
- Votre fournisseur d'email vous signale que votre domaine envoie du spam.
Le pharma hack est réputé particulièrement tenace : il se cache souvent dans plusieurs endroits à la fois (base de données, fichiers, options du CMS) et réapparaît si le nettoyage est incomplet.
Cas n°3 : l'injection massive d'URLs (URL injection / spam pages) - Fréquence : élevée
C'est la catégorie générique de tous les hacks qui créent en masse de nouvelles pages sur votre site. Le Japanese et le Pharma hack en sont des cas particuliers, mais l'injection d'URLs peut aussi être plus neutre dans sa forme :
Ce qui se passe : des milliers d'URLs nouvelles apparaissent, souvent dans des dossiers que vous n'avez jamais créés (/wp-content/uploads/2019/, /cache/, des chemins aléatoires). Chacune est une page spam autonome.
Les signes typiques :
- Le nombre de pages indexées dans la Search Console grimpe en flèche.
- Des erreurs 404 en masse apparaissent dans vos rapports quand Google tente de crawler ces pages après nettoyage.
- Votre hébergeur signale une consommation anormale de ressources (toutes ces pages générées surchargent le serveur).
C'est souvent ce symptôme - la lenteur soudaine ou un hébergeur qui râle - qui révèle l'attaque avant même que vous ne regardiez Google.
Cas n°4 : le Gibberish Hack (contenu incohérent) - Fréquence : élevée
Gibberish signifie « charabia ». Google lui consacre aussi une page officielle.
Ce qui se passe : comme l'injection d'URLs, mais les pages créées portent des noms et du contenu automatiquement générés et incompréhensibles : des suites de mots-clés sans queue ni tête, dans n'importe quelle langue. Des URLs du genre votredomaine.fr/cheap-best-buy-discount-shoes-outlet-2019.
Les signes typiques :
- Des centaines de pages aux URLs faites de mots-clés empilés, sans logique.
- Du contenu qui ressemble à du texte mais ne veut rien dire (généré par machine).
- Souvent combiné à des redirections : cliquer sur une de ces pages renvoie vers un site tiers.
Cas n°5 : le spam injecté dans VOS pages existantes - Fréquence : moyenne
Plus discret : au lieu de créer de nouvelles pages, le pirate modifie vos pages réelles pour y glisser du spam.
Ce qui se passe : des liens cachés (texte blanc sur fond blanc, texte de 0 pixel, blocs déplacés hors écran en CSS) sont insérés dans vos articles, votre pied de page ou vos barres latérales. Vous ne les voyez pas à l'œil nu, mais Google les lit et les compte.
Les signes typiques :
- En affichant le code source (Ctrl+U) d'une page, vous trouvez des blocs de liens vers des sites étrangers.
- Du texte de la même couleur que le fond, invisible visuellement mais présent dans le code.
- Du spam qui apparaît dans les commentaires (sur WordPress surtout) : c'est la version la plus bénigne et la plus courante de cette catégorie.
Cas n°6 : le spam dans la base de données - Fréquence : moyenne
Une variante technique qui accompagne souvent les autres : le contenu malveillant n'est pas dans des fichiers mais directement dans la base de données (articles, options, métadonnées du CMS).
Pourquoi c'est important : beaucoup de gens nettoient les fichiers, voient le problème disparaître quelques heures… puis revenir. La raison est presque toujours que le spam vivait aussi dans la base, et qu'un script l'a régénéré. Un nettoyage sérieux inspecte fichiers ET base.
Cas n°7 : les variantes par langue (chinois, russe, coréen, arabe) - même mécanique
Pour être complet : tout ce qui précède existe dans toutes les langues. Le « hack chinois » ou le « hack russe » que vous cherchez peut-être ne sont pas des attaques différentes - ce sont le Japanese keyword hack ou le gibberish hack avec un autre jeu de caractères. Le traitement est identique. Ne perdez pas de temps à chercher une solution spécifique à la langue : cherchez la faille et la méthode, pas l'alphabet.
Comment détecter le SEO spam (même invisible)
Puisque naviguer sur votre site ne suffit pas (cloaking), voici les vraies méthodes de détection, par ordre d'efficacité.
1. La commande site: dans Google
La plus simple et la plus parlante. Tapez dans Google :
site:votredomaine.fr
Google liste alors toutes vos pages qu'il connaît. Faites défiler : si des pages en langue étrangère, des médicaments ou du charabia apparaissent, le diagnostic est posé. Ajoutez des mots-clés pour cibler : site:votredomaine.fr viagra ou site:votredomaine.fr 日本.
2. La Google Search Console
L'outil indispensable (gratuit). Trois endroits à regarder :
- Sécurité et actions manuelles → Problèmes de sécurité : Google y signale explicitement « contenu piraté » s'il l'a détecté.
- Indexation → Pages : surveillez le nombre total. Une courbe qui explose = injection massive.
- Performances : si des requêtes en japonais ou des noms de médicaments apparaissent dans vos statistiques, vous rankez dessus malgré vous.
3. Regarder votre site « comme Google »
L'outil d'inspection d'URL de la Search Console montre votre page telle que Googlebot la voit - donc avec le cloaking levé. C'est là que le contenu caché se révèle.
4. La recherche dans les fichiers et la base
Côté serveur, on cherche les signatures connues : fichiers PHP récemment modifiés, fonctions suspectes (eval, base64_decode, gzinflate enchaînées), fichiers aux noms aléatoires dans les dossiers d'upload. C'est l'étape technique où un professionnel fait gagner des heures.
5. Les alertes externes
Souvent, c'est le monde extérieur qui prévient : votre hébergeur suspend le compte, votre antivirus bloque le site, un navigateur affiche un écran rouge, ou un client vous appelle, inquiet. Ne balayez jamais ces signaux d'un revers de main.
Que faire : le plan de nettoyage
J'ai détaillé la procédure d'urgence générale dans mon article « Mon site a été piraté : que faire, étape par étape ». Voici les spécificités propres au SEO spam.
Étape 1 : ne paniquez pas, ne supprimez pas tout
Le réflexe « je supprime les pages spam » est insuffisant : elles seront régénérées tant que la faille et les scripts injectés sont là. Coupez l'accès public (mode maintenance), mais conservez le site pour l'analyse.
Étape 2 : trouvez TOUS les nids
Le SEO spam se planque en plusieurs endroits simultanément - c'est sa force. Il faut inspecter : les fichiers (scripts injectés, portes dérobées dites backdoors), la base de données (contenu et options spam), le .htaccess (règles de cloaking et de redirection), les comptes administrateurs (un compte pirate créé pour revenir), et les tâches planifiées (un cron qui réinjecte le spam toutes les nuits). Oublier un seul de ces nids = réinfection garantie.
Étape 3 : nettoyez ou réinstallez proprement
Selon l'ampleur : nettoyage chirurgical si l'infection est circonscrite, ou réinstallation propre (système neuf + restauration des seuls contenus vérifiés) si c'est étendu. Pour un WordPress très infesté, repartir d'une base saine est souvent plus rapide et plus sûr que la chasse aux fichiers.
Étape 4 : FERMEZ la porte d'entrée
L'étape que tout le monde saute, et la raison n°1 des réinfections. Les portes d'entrée du SEO spam, par ordre de fréquence :
- Un plugin ou un thème obsolète (cause n°1 absolue sur WordPress, de très loin).
- Un mot de passe faible forcé par des robots.
- Une version de CMS jamais mise à jour.
- Un thème ou plugin « nulled » (version piratée téléchargée gratuitement - souvent piégée d'origine).
- Un serveur jamais durci : permissions trop larges, pas de pare-feu.
Tant que cette faille reste ouverte, vous rejouerez la même partie dans huit jours.
Étape 5 : demandez le réexamen à Google
Une fois propre, c'est crucial pour le SEO : dans la Search Console, sous « Problèmes de sécurité » ou « Actions manuelles », soumettez une demande de réexamen en expliquant ce qui a été corrigé. Tant que vous ne le faites pas, l'avertissement et la pénalité persistent même sur un site nettoyé.
Les conséquences SEO (et la récupération)
Soyons clairs sur l'enjeu, car c'est là que le SEO spam fait le plus mal :
- Désindexation ou pénalité : Google peut retirer tout votre domaine de ses résultats, ou le rétrograder lourdement.
- Perte de confiance accumulée : des années d'autorité peuvent s'effondrer en quelques semaines d'infection non traitée.
- Avertissement rouge : tant qu'il s'affiche, votre taux de clic s'effondre - personne ne clique sur un site « qui peut avoir été piraté ».
La bonne nouvelle : un site nettoyé en profondeur, dont la faille est fermée et le réexamen demandé, récupère généralement ses positions en quelques semaines à quelques mois. Plus l'infection est traitée tôt, plus la récupération est rapide et complète. C'est tout l'argument pour ne pas laisser traîner.
Comment éviter tout ça (prévention)
Le SEO spam exploite à 99 % des failles connues et évitables. La prévention tient en quatre points :
- Les mises à jour, religieusement. Cœur, thèmes, plugins. C'est ennuyeux, c'est vital. Une maintenance mensuelle s'en charge si vous n'avez pas le temps - elle coûte une fraction d'un nettoyage post-piratage.
- Le durcissement du serveur : pare-feu, bannissement des tentatives répétées (fail2ban), permissions strictes, suppression des accès inutiles. C'est l'objet de ma prestation de sécurisation de serveur.
- Des mots de passe forts et la double authentification sur tous les accès admin.
- Des sauvegardes automatiques et testées, stockées hors du serveur : si le pire arrive, vous restaurez une version saine au lieu de tout reconstruire.
Une architecture moderne aide aussi structurellement : un site construit en Next.js ou en statique offre une surface d'attaque quasi nulle comparé à un WordPress truffé de plugins - c'est un des arguments de fond en faveur du sur-mesure.
Votre site est touché là, maintenant ? Coupez l'accès public et contactez-moi : j'identifie tous les nids (fichiers, base, .htaccess, comptes, crons), je nettoie ou réinstalle proprement, je ferme la faille et je vous accompagne sur le réexamen Google. Et si votre site va bien, c'est exactement le moment de le sécuriser et de le mettre sous maintenance - parce que le SEO spam frappe les sites négligés, jamais les sites entretenus.
Un doute sans certitude ? Un audit vérifie l'état réel de votre site - y compris ce que le cloaking vous cache.