Pourquoi le spam n'apparaît-il que sur Google et pas sur mon site ?

La redirection vérifie qui visite avant de se déclencher. Elle lit en général le User-Agent et le referrer, et ne se déclenche que quand le visiteur ressemble à un clic depuis un moteur de recherche sur un téléphone. Les visites directes, les visiteurs récurrents et les admins connectés sont exclus, ce qui explique pourquoi le propriétaire du site ne la voit pas.

J’ai changé mon mot de passe admin. Pourquoi la redirection continue-t-elle ?

La redirection vit dans le site lui-même, pas dans votre login. Tant que le code dans PHP, la base ou .htaccess n’est pas retiré, les visiteurs continueront d’être envoyés où l’attaquant l’a décidé.

Google pardonnera-t-il à mon site une fois le pharma hack supprimé ?

Oui, une fois que le spam est parti. Nous soumettons une demande de réexamen à Google Safe Browsing dans le cadre de chaque nettoyage et demandons l'indexation via Search Console. Les mauvaises URLs renvoient un 404 et sortent de l'index au fil des cycles de crawl suivants. La plupart des sites récupèrent en quelques semaines.

Comment est-ce arrivé au départ ?

Presque toujours une extension vulnérable ou des identifiants admin/FTP fuités. Nous identifions le chemin exact et le refermons avant de rendre le site.

// PHARMA HACK · WORDPRESS · NETTOYÉ

WordPress redirect malware removal.

Manual removal of the redirect. I find how it got in, close it, and write you a report. Flat $279.

Démarrer un nettoyage → Comment fonctionne le pharma hack

§ 01 — MÉCANISME

Une redirection détournée est difficile à voir et facile à payer cher.

L’attaquant place du code dans votre site qui envoie les visiteurs vers un autre site. Parfois une arnaque, parfois du spam d’affiliation, parfois pire. Elle ne se déclenche en général que pour certains visiteurs — mobiles, clics depuis Google, nouvelles IP — d’où le fait que le propriétaire du site ne la voit pas.

Elle peut vivre dans un fichier PHP, dans la base, ou dans les règles de réécriture du serveur. On vérifie les trois. On la supprime, on trouve par où elle est entrée, et on referme la porte avant de rendre le site.

// wp_options — sonde de cible de redirection

01 SELECT option_name, option_value
02 FROM wp_options
03 WHERE option_name IN ('siteurl', 'home');
04
05 // If either points anywhere other than your domain,
06 // the redirect has already overwritten core URLs.

§ 02 — CE QUE NOUS SUPPRIMONS

Trois endroits. On vérifie les trois.

[ TRIAGE DES PLUGINS ]

Nous reproduisons la redirection avec le même User-Agent et referrer qui la déclenchent — pas de devinette.
[ FICHIERS ]

Loaders PHP dans le thème, mu-plugins et wp-includes — supprimés par diff contre un WordPress propre.
[ BASE DE DONNÉES ]

wp_options.siteurl restauré ; scripts injectés retirés de wp_posts ; charges autoloaded purgées.
[ RÈGLES DE RÉÉCRITURE ]

Directives .htaccess malveillantes supprimées ; règles de protection ajoutées.
[ RECHERCHE GOOGLE ]

Demande de réexamen déposée auprès de Safe Browsing ; URLs concernées ré-indexées via Search Console.
[ RAPPORT ]

Rapport médico-légal en langage clair, vecteur d’entrée identifié, ce qu’il faut changer avant la remise des clés.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →