Que dit Google sur le SEO ? /
AccueilDeclarations › Exemples de Code Malveillant Injecté

Comment détecter le code malveillant injecté qui sabote votre SEO ?

Google 12/03/2013 ★★☆
Comment détecter le code malveillant injecté qui sabote votre SEO ?
Quiz SEO Express

Testez vos connaissances SEO en 5 questions

Moins d'une minute. Decouvrez ce que vous savez vraiment sur le referencement Google.

🕒 ~1 min 🎯 5 questions

Declaration officielle

Les injections de code malveillant peuvent inclure des iFrames vers des sites d'attaque, des scripts JavaScript exécutés à partir de sites d'attaque, ou des redirections vers des sites d'attaque. Recherchez des constructions complexes comme 'iFrame', 'eval', et 'unescape' pour identifier ce type de malware.
1:04
🎥 Vidéo source

Extrait d'une vidéo Google Search Central

⏱ 1:35 💬 EN 📅 12/03/2013 ✂ 3 déclarations
Voir sur YouTube (1:04) →
Autres déclarations de cette vidéo 2
  1. Comment détecter une injection de code et limiter les dégâts sur votre site infecté ?
  2. 1:35 Pourquoi nettoyer un site hacké ne suffit-il jamais à le sécuriser durablement ?
📅
Declaration officielle du (il y a 13 ans)
⚠ Une declaration plus recente existe sur ce sujet Est-ce que le trafic malveillant peut-il pénaliser votre site dans Google ? Martin Splitt · 27 aout 2024 Voir la declaration →
TL;DR

Google identifie trois types d'injections malveillantes principales : iFrames cachées, scripts JavaScript externes et redirections forcées. Ces attaques sabotent votre référencement en détournant vos visiteurs ou en vous blacklistant dans Search Console. La détection passe par la recherche de constructions JavaScript complexes comme 'eval', 'unescape' et 'iFrame' dans votre code source.

Ce qu'il faut comprendre

Pourquoi ces injections passent-elles souvent inaperçues ?

Le code malveillant injecté se cache généralement dans des zones peu vérifiées du site : templates obsolètes, plugins WordPress non maintenus, fichiers JavaScript minifiés. Les hackers utilisent des techniques d'obfuscation pour rendre le code illisible à première vue.

Les iFrames invisibles sont redoutables parce qu'elles chargent du contenu externe sans que vous ne le voyiez. Elles peuvent pointer vers des sites de phishing, des fermes de liens ou des pages bourrées de malware. Google les détecte via son Safe Browsing et peut blacklister votre domaine en quelques heures.

Qu'est-ce qui rend 'eval', 'unescape' et 'iFrame' si suspects ?

Ces trois constructions JavaScript sont légitimes dans certains contextes, mais deviennent des marqueurs quand elles apparaissent ensemble ou de manière obfusquée. 'eval()' exécute du code à la volée, ce qui permet d'injecter n'importe quoi sans laisser de trace évidente dans le fichier source.

'unescape()' décode des chaînes encodées, souvent utilisée pour masquer des URLs ou des scripts malveillants. Quand vous voyez 'eval(unescape(...))' dans votre code, c'est un signal d'alarme immédiat. Les hackers empilent ces fonctions pour compliquer la détection par les scanners automatiques.

Quelles sont les conséquences SEO directes de ces injections ?

Google détecte ces intrusions via son système Safe Browsing et affiche un avertissement rouge dans les résultats de recherche. Votre trafic peut chuter de 95% en 24 heures. Search Console vous envoie une notification, mais parfois trop tard : le mal est fait.

Les redirections malveillantes sont particulièrement vicieuses : elles redirigent seulement certains visiteurs (géolocalisation, user-agent mobile) pour échapper à la détection. Vous testez votre site depuis votre bureau, tout semble normal, mais vos utilisateurs mobiles atterrissent sur des sites de spam pharmaceutique.

  • Perte de confiance utilisateur : vos visiteurs voient des avertissements de sécurité avant d'accéder à votre site
  • Chute brutale du trafic organique : Google désindexe ou pénalise les pages infectées
  • Blacklistage domaine entier : dans les cas graves, Google marque tout le domaine comme dangereux
  • Impact sur le crawl budget : les bots Google évitent les sites signalés, réduisant la fréquence de crawl
  • Délai de récupération long : même après nettoyage, il faut demander une révision manuelle qui peut prendre plusieurs semaines

Avis d'un expert SEO

Cette déclaration couvre-t-elle toutes les formes d'injection modernes ?

Soyons honnêtes : Google se concentre sur les vecteurs d'attaque classiques (iFrames, eval, unescape) mais passe sous silence des techniques plus récentes. Les injections via WebAssembly, les Service Workers détournés ou les attaques par pollution de prototype JavaScript ne sont pas mentionnées. [À vérifier] si Google détecte efficacement ces menaces émergentes.

Sur le terrain, on voit de plus en plus d'injections qui ne touchent jamais le HTML ou le JavaScript frontend : elles modifient directement les réponses serveur en cache (Varnish, Cloudflare) ou injectent du contenu via des headers HTTP manipulés. Ces attaques échappent complètement aux recherches de code source basiques.

Les outils de détection recommandés sont-ils vraiment fiables ?

Chercher manuellement 'eval', 'unescape' et 'iFrame' dans votre code est un bon début, mais c'est loin d'être suffisant. Les hackers utilisent des encodages en base64, des caractères Unicode invisibles et du code auto-modifiant qui ne contient jamais ces chaînes en clair.

Les plugins de sécurité WordPress (Wordfence, Sucuri) détectent environ 70% des infections courantes, mais ratent les backdoors personnalisées. Un vrai audit nécessite de comparer votre code actuel avec une version propre connue (Git diff), de surveiller les changements de fichiers inattendus et de monitorer les requêtes HTTP sortantes suspectes.

Attention : certaines injections se réactivent automatiquement après nettoyage si la porte d'entrée initiale (plugin vulnérable, mot de passe faible) n'est pas colmatée. Nettoyer sans sécuriser revient à vider une baignoire dont le robinet coule.

Dans quels cas ces constructions sont-elles légitimes ?

Tous les sites n'utilisent pas 'eval' ou 'iFrame' de manière malveillante. Les builders de pages (Elementor, Divi) génèrent parfois des iFrames pour les embeds YouTube ou Google Maps. Certains scripts analytics tiers utilisent 'eval' pour charger dynamiquement du code.

Le problème, c'est que Google ne fait pas la différence dans sa documentation. Il faut donc documenter vos iFrames légitimes : listez-les, vérifiez qu'elles pointent vers des domaines de confiance, et auditez-les régulièrement. Un 'eval' légitime dans votre thème ne doit jamais contenir de chaînes encodées obscures ou pointer vers des domaines externes inconnus.

Impact pratique et recommandations

Comment scanner efficacement son site pour détecter ces injections ?

Commence par une recherche grep récursive dans tous tes fichiers PHP, JS et HTML. Cherche 'eval(', 'unescape(', 'iframe', 'base64_decode', 'gzinflate' et 'str_rot13'. Si tu trouves des occurrences dans des fichiers que tu n'as jamais édités, c'est suspect.

Utilise ensuite les outils de Google : Search Console affiche les alertes de sécurité sous l'onglet Problèmes de Sécurité. Configure Google Safe Browsing Status pour vérifier ton domaine régulièrement. Complète avec des scanners tiers comme Sucuri SiteCheck ou VirusTotal pour croiser les détections.

Quelles mesures préventives mettre en place immédiatement ?

Blinde tes points d'entrée : change tous les mots de passe admin (FTP, cPanel, WordPress, base de données) avec des chaînes de 20+ caractères aléatoires. Active l'authentification à deux facteurs partout où c'est possible. Désactive l'édition de fichiers depuis le back-office WordPress (define('DISALLOW_FILE_EDIT', true) dans wp-config.php).

Mets en place une Content Security Policy (CSP) restrictive qui bloque les iFrames non autorisées et les scripts inline. Configure un monitoring de changements de fichiers (AIDE, Tripwire ou plugins WordPress comme WP File Monitor) pour recevoir une alerte dès qu'un fichier est modifié. Les injections se font souvent de nuit : un monitoring actif les détecte en temps réel.

Que faire si ton site est déjà infecté ?

Passe immédiatement en mode maintenance pour limiter l'exposition des visiteurs. Identifie tous les fichiers modifiés récemment (commande 'find' sous Linux avec filtre par date). Compare avec une sauvegarde propre connue ou une installation fraîche du CMS. Ne supprime jamais de fichiers avant d'avoir identifié la porte d'entrée, sinon l'infection reviendra.

Une fois nettoyé, demande une révision manuelle dans Search Console sous Problèmes de Sécurité. Google peut mettre 72 heures à plusieurs semaines pour retirer l'avertissement. Pendant ce temps, ton trafic reste impacté. Certaines optimisations de sécurité avancées (CSP stricte, analyse forensique des logs, durcissement serveur) sont techniques et chronophages. Faire appel à une agence SEO spécialisée en sécurité web peut accélérer le processus et garantir qu'aucune backdoor ne subsiste.

  • Scanner tous les fichiers avec grep pour 'eval', 'unescape', 'iframe', 'base64_decode'
  • Vérifier les alertes Search Console sous Problèmes de Sécurité chaque semaine
  • Changer tous les mots de passe d'accès au serveur et CMS (20+ caractères aléatoires)
  • Activer un monitoring de changements de fichiers en temps réel
  • Configurer une Content Security Policy (CSP) bloquant les iFrames et scripts externes non autorisés
  • Comparer régulièrement le code actuel avec une version propre via Git diff ou backups
Les injections de code malveillant ne sont pas une fatalité si tu mets en place un monitoring proactif et des barrières d'entrée solides. La détection précoce fait toute la différence entre un incident mineur et un blacklistage domaine complet. Google te donne les marqueurs (eval, unescape, iFrame) : à toi de les traquer avant qu'ils ne sabotent ton référencement.

❓ Questions frequentes

Est-ce que tous les iFrames sont considérés comme malveillants par Google ?
Non, les iFrames légitimes (YouTube, Google Maps, widgets sociaux) sont tolérées. Google détecte principalement les iFrames cachées (CSS display:none) pointant vers des domaines suspects ou inconnus. Documente tes iFrames autorisées et vérifie régulièrement leur destination.
Comment différencier un 'eval' légitime d'une injection malveillante ?
Un 'eval' légitime est visible en clair, documenté dans le code source officiel de ton thème ou plugin, et n'exécute jamais de chaînes encodées en base64 ou provenant de sources externes. Si tu trouves 'eval(unescape(...))' ou 'eval(atob(...))' avec des chaînes longues et incompréhensibles, c'est presque toujours malveillant.
Combien de temps faut-il pour que Google retire un avertissement de sécurité après nettoyage ?
Après avoir soumis une demande de révision dans Search Console, Google prend généralement entre 72 heures et 2 semaines. Pendant ce délai, l'avertissement rouge reste affiché dans les résultats de recherche et ton trafic reste impacté. Un nettoyage incomplet peut entraîner un nouveau signalement.
Les CDN et systèmes de cache peuvent-ils propager du code malveillant injecté ?
Oui, si l'injection se produit avant la mise en cache. Le code infecté est alors servi à tous les visiteurs via le CDN jusqu'à purge manuelle du cache. Certaines attaques ciblent spécifiquement les headers HTTP pour injecter du contenu dans Varnish ou Cloudflare sans toucher aux fichiers source.
Faut-il systématiquement supprimer tout code JavaScript obfusqué trouvé sur son site ?
Pas nécessairement. Certains scripts légitimes (analytics, anti-adblock, protections anti-scraping) utilisent l'obfuscation. Vérifie d'abord l'origine : si c'est un fichier de ton thème ou d'un plugin reconnu, compare-le avec la version officielle. Si c'est un fichier orphelin sans origine claire, supprime-le après sauvegarde.
🏷 Sujets associes
code malveillant sécurité site iFrame injection eval JavaScript Search Console Safe Browsing WordPress sécurité malware SEO
JavaScript & Technique Redirections

🎥 De la même vidéo 2

Autres enseignements SEO extraits de cette même vidéo Google Search Central · durée 1 min · publiée le 12/03/2013

Comment détecter une injection de code et limiter les dégâts sur votre site infecté ?
Pourquoi nettoyer un site hacké ne suffit-il jamais à le sécuriser durablement ?
⏱ 1:35
🎥 Voir la vidéo complète sur YouTube →

Declarations similaires

Les profils créateurs Google Search vont-ils redistribuer les cartes du SEO ?
John Mueller · 18/06/2026 · ★★
Faut-il vraiment diviser son sitemap XML en plusieurs fichiers ?
John Mueller · 26/05/2026 · ★★★
Faut-il vraiment consulter Search Console tous les jours ou les alertes par e-mail suffisent-elles ?
John Mueller · 26/05/2026 · ★★★
L'API d'indexation Google devient-elle inutilisable à cause des abus ?
John Mueller · 19/05/2026 · ★★★
L'IA simplifie-t-elle vraiment les workflows SEO ou masque-t-elle des risques techniques critiques ?
John Mueller · 07/05/2026 · ★★
La désindexation massive sur Google Search est-elle réelle ou juste un bug de la Search Console ?
John Mueller · 05/05/2026 · ★★
« Precedent
L'utilisation d'une installation propre plutôt que...
Suivant »
Étapes pour Identifier une Injection de Code...
« Retour aux resultats

💬 Commentaires (0)

Soyez le premier à commenter.

2000 caractères restants
Les commentaires sont modérés avant publication.
🔔

Recevez une analyse complète en temps réel des dernières déclarations de Google

Soyez alerté à chaque nouvelle déclaration officielle Google SEO — avec l'analyse complète incluse.

Aucun spam. Désinscription en 1 clic.