mlafraise
SécuritéPiratageRedirect hackWordPress

Mon site redirige vers un autre site : pourquoi, et comment l'arrêter

Votre site renvoie vos visiteurs vers une boutique douteuse, une arnaque ou une pub ? C'est le « redirect hack ». Comment il fonctionne, ses variantes (dont la plus sournoise qui ne touche que vos visiteurs), comment le détecter et l'éliminer.

··Mis à jour le ·7 min de lecture

Un visiteur arrive sur votre site et se retrouve, en une fraction de seconde, propulsé vers une boutique chinoise douteuse, un faux jeu-concours ou une page de pub. Ou bien votre site, ouvert depuis Google sur votre téléphone, file vers un site inconnu - alors que sur votre ordinateur, tout semble normal. C'est le redirect hack (hack de redirection), l'un des piratages les plus courants du web. Voici comment il fonctionne, ses variantes, et comment l'éliminer pour de bon.

Ce qu'est un redirect hack

Le principe est simple et brutal : un pirate injecte un bout de code dans votre site qui renvoie automatiquement vos visiteurs ailleurs. Le but est presque toujours commercial - détourner votre trafic vers des sites qui paient le pirate : spam, arnaques, fausses boutiques, publicités, ou pages cherchant à infecter à leur tour l'ordinateur du visiteur.

Comme pour le SEO spam dont j'ai parlé en détail hier, l'objectif n'est pas de détruire votre site mais de parasiter votre trafic. Et comme lui, il se cache pour durer le plus longtemps possible.

Les variantes, du plus fréquent au plus rare

Cas n°1 : la redirection conditionnelle - Fréquence : très élevée

C'est de loin la plus répandue, et la plus déroutante. Le code ne redirige pas tout le monde : il vérifie qui est le visiteur avant d'agir. Les conditions les plus courantes :

  • Seulement depuis Google : si le visiteur arrive d'une recherche, il est redirigé ; s'il tape l'URL directement, non. Résultat : vous ne voyez jamais le problème (vous tapez votre adresse), mais vos vrais visiteurs, eux, sont détournés.
  • Seulement sur mobile : les visiteurs sur smartphone sont redirigés, ceux sur ordinateur non. Vous testez sur votre PC, tout va bien - vos clients sur mobile, eux, partent ailleurs.
  • Seulement les visiteurs non connectés : vous, connecté en administrateur, ne déclenchez jamais la redirection.

Cette intelligence est ce qui rend le hack si difficile à diagnostiquer : le propriétaire est précisément la personne épargnée. Beaucoup de sites restent infectés des semaines parce que « ça marche quand je teste ».

Cas n°2 : la redirection via le fichier .htaccess - Fréquence : élevée

Le .htaccess est un fichier de configuration présent sur les serveurs Apache (donc la majorité des hébergements mutualisés et WordPress). Il est conçu, justement, pour gérer les redirections - ce qui en fait la cible rêvée.

Ce qui se passe : le pirate ajoute quelques lignes au .htaccess qui redirigent tout (ou une partie) du trafic. C'est rapide à poser pour l'attaquant, et souvent combiné avec la redirection conditionnelle ci-dessus. C'est l'un des premiers endroits à inspecter.

Cas n°3 : l'injection dans les fichiers du thème - Fréquence : élevée

Le code de redirection est glissé dans un fichier exécuté à chaque visite : le header.php du thème, le functions.php, ou un fichier d'index. Souvent du PHP ou du JavaScript camouflé (encodé en base64 pour échapper à l'œil).

Ce qui se passe : chaque page qui charge ce fichier déclenche la redirection. Particulièrement tenace sur les thèmes WordPress, et réinjecté si la faille reste ouverte.

Cas n°4 : l'injection dans la base de données - Fréquence : moyenne

Le code malveillant (généralement du JavaScript) est inséré directement dans le contenu stocké en base : dans vos articles, vos pages, ou les options de configuration du site.

Pourquoi c'est important : c'est la cause classique du « j'ai nettoyé les fichiers mais ça revient ». Tant que la base n'est pas inspectée, la redirection ressurgit. Un nettoyage sérieux regarde fichiers ET base de données.

Cas n°5 : le plugin ou le script tiers compromis - Fréquence : moyenne

La redirection vient d'un plugin (légitime mais vulnérable, ou carrément malveillant) ou d'un script externe que votre site charge. C'est aussi le vecteur des plugins « nulled » - ces versions premium piratées et distribuées gratuitement, fréquemment piégées dès l'installation.

Pourquoi c'est si grave pour votre activité

On sous-estime souvent les dégâts d'un redirect hack, parce qu'il « ne casse rien ». Pourtant, il frappe là où ça fait le plus mal :

  • Vous perdez vos visiteurs en direct. Chaque personne qui arrive sur votre site et se fait rediriger est un client envoyé chez quelqu'un d'autre - souvent un escroc. L'argent que vous dépensez en publicité ou en référencement finance, de fait, le site du pirate.
  • Votre réputation trinque. Un visiteur redirigé vers une arnaque ne se dit pas « le site a été piraté ». Il se dit « ce site est louche » - et il ne revient pas.
  • Google vous sanctionne. Une redirection malveillante est, pour Google, un motif d'avertissement rouge et de chute des positions. Double peine : moins de visiteurs, et ceux qui restent sont détournés.
  • Les navigateurs vous bloquent. Chrome et Firefox affichent un écran rouge sur les sites qui redirigent vers des destinations dangereuses, ce qui coupe net votre trafic.

Autrement dit : un redirect hack non traité ne se contente pas de gêner, il assèche votre activité en ligne tant qu'il dure. C'est pour ça qu'il faut le traiter en urgence, pas « quand on aura le temps ».

Comment le détecter

Puisque vous êtes souvent la personne épargnée, ne vous fiez pas à votre seul navigateur. Les bonnes méthodes :

  • Testez comme un visiteur réel : naviguez en fenêtre privée (non connecté), depuis un mobile, et en arrivant depuis une recherche Google plutôt qu'en tapant l'URL.
  • Utilisez la Search Console : l'outil d'inspection d'URL montre votre page telle que Googlebot la voit, ce qui révèle les redirections conditionnelles.
  • Demandez autour de vous : si des visiteurs ou clients signalent des redirections que vous ne reproduisez pas, croyez-les - ils voient ce que le hack vous cache.
  • Inspectez le .htaccess et le code source : des lignes de redirection inconnues, du JavaScript encodé en base64, des appels vers des domaines étrangers.

Comment l'éliminer durablement

La logique est la même que pour tout piratage - et j'ai détaillé la procédure d'urgence complète dans « Mon site a été piraté : que faire ». Les points clés spécifiques au redirect hack :

  1. Cherchez le code dans TOUS les emplacements : .htaccess, fichiers du thème (header.php, functions.php, index), base de données, plugins. La redirection se cache souvent en double - en retirer une copie sans l'autre la laisse revenir.
  2. Repérez la porte dérobée : le pirate laisse presque toujours un backdoor (un fichier caché) pour réinjecter sa redirection. Le trouver est aussi important que retirer la redirection elle-même.
  3. Fermez la faille d'entrée : plugin/thème obsolète (la cause n°1), mot de passe faible, CMS non mis à jour. Sans ça, la redirection revient en quelques jours - c'est la garantie de la réinfection.
  4. Changez tous les mots de passe et supprimez tout compte administrateur que vous ne reconnaissez pas.
  5. Vérifiez après coup depuis un mobile, en navigation privée, et via la Search Console - pas seulement depuis votre poste.

Comment l'éviter

Le redirect hack exploite quasi exclusivement des failles connues. La prévention est la même que pour l'ensemble des piratages :

  • Mises à jour systématiques du CMS, des thèmes et des plugins.
  • Jamais de plugin ou thème « nulled » : le gratuit piégé coûte infiniment plus cher qu'une licence.
  • Durcissement du serveur (pare-feu, fail2ban, permissions strictes) - c'est l'objet de ma sécurisation de serveur.
  • Maintenance régulière et sauvegardes testées - une maintenance mensuelle détecte et bloque ces injections avant qu'elles ne fassent des dégâts.

Votre site redirige vos visiteurs vers un site inconnu ? Ne tardez pas : chaque jour, des clients tombent sur le site du pirate au lieu du vôtre. Contactez-moi - je localise le code injecté (jusque dans la base et les portes dérobées), je l'élimine, et je ferme la faille pour qu'il ne revienne pas. Et si votre site va bien, sécurisez-le maintenant : la prévention coûte quelques heures, le piratage coûte vos clients.

Questions fréquentes.

Pourquoi mon site redirige-t-il vers un autre site ?+

Votre site a été victime d'un « redirect hack » : un code malveillant a été injecté (dans le .htaccess, un fichier du thème, un plugin ou la base de données) pour renvoyer automatiquement vos visiteurs vers un site de spam, d'arnaque ou de publicité. C'est l'un des piratages les plus fréquents, surtout sur WordPress.

Pourquoi le site redirige pour mes visiteurs mais pas pour moi ?+

C'est la variante « redirection conditionnelle », la plus sournoise : le code ne redirige que certains visiteurs - ceux venant de Google, ceux sur mobile, ou ceux qui ne sont pas connectés en administrateur. Vous, qui tapez l'URL directement et êtes connecté, ne voyez rien, ce qui rend le hack difficile à diagnostiquer.

Comment arrêter une redirection malveillante sur mon site ?+

Il faut trouver et retirer le code injecté, qui se cache généralement dans le fichier .htaccess, les fichiers du thème (header, functions.php), un plugin compromis ou la base de données - puis fermer la faille qui a permis l'intrusion (plugin obsolète, mot de passe faible). Un nettoyage qui oublie un seul de ces emplacements laisse la redirection revenir.

<- Tous les articles