Combien de temps faut-il vraiment pour récupérer après un hack SEO ?

Que signifie concrètement « quelques semaines » pour la récupération ?

Mueller reste volontairement vague sur ce délai. Quelques semaines peut signifier 2 à 6 semaines selon la fréquence de crawl de votre site, la profondeur du hack, et le volume de pages affectées. Google ne donne pas de timeline précise parce que chaque cas diffère.

La stabilisation des classements n'est pas binaire. Vous verrez probablement une récupération progressive : certaines pages reviennent vite, d'autres traînent. Les URLs qui ont été massivement spammées ou ont généré des backlinks toxiques prendront plus de temps à être réhabilitées dans l'index.

Pourquoi Google insiste sur le « complètement nettoyé » ?

Parce que c'est là que la majorité des webmasters échouent. Un hack n'est jamais juste une page injectée visible en surface. Les attaquants installent des backdoors, modifient des fichiers .htaccess, injectent du code obfusqué dans des templates, créent des utilisateurs cachés dans WordPress.

Si vous nettoyez 90% du hack mais laissez une porte dérobée active, le site sera réinfecté sous 48h. Google recrawle, voit que le spam est de retour, et vous repartez en arrière. Le cycle recommence. Complètement nettoyé signifie audit forensique complet, pas juste suppression des pages /viagra/ visibles.

Le sitemap resoumis joue quel rôle dans cette récupération ?

Resoumettre le sitemap après nettoyage envoie un signal de rafraîchissement à Google. Vous indiquez explicitement quelles URLs sont légitimes et doivent être recrawlées en priorité. C'est particulièrement utile si le hack a généré des milliers de pages spam qui polluent encore l'index.

Mais attention : soumettre le sitemap avant un nettoyage complet est contre-productif. Google va crawler vos pages infectées, confirmer le problème, et potentiellement étendre la désindexation. Le timing compte. Nettoyez d'abord, auditez deux fois, soumettez ensuite.

• Délai indicatif : 2 à 6 semaines pour une stabilisation, avec récupération progressive
• Nettoyage complet obligatoire : backdoors, code obfusqué, utilisateurs cachés, fichiers système
• Sitemap resoumis : uniquement après audit forensique complet et validation que tout est propre
• Pas de rancune : Google ne pénalise pas un site hacké si le problème est résolu, mais la confiance se reconstruit avec le temps
• Surveillance post-nettoyage : monitorer pendant 4-6 semaines pour détecter toute réinfection rapide

Cette déclaration est-elle cohérente avec les observations terrain ?

Oui et non. La partie « Google ne garde pas rancune » est vraie : nous avons vu des sites sévèrement hackés retrouver leurs positions après nettoyage. Mais quelques semaines est optimiste pour les cas graves. [A vérifier] : sur des hacks massifs (50k+ pages spam injectées), la récupération complète peut prendre 3 à 4 mois, pas 3 semaines.

Le problème, c'est que Mueller ne distingue pas entre un hack léger (injection de liens cachés) et un hack lourd (cloaking agressif, redirection mobile vers pharma). La durée de récupération varie énormément. Un site avec un bon crawl budget récupère plus vite qu'un petit site crawlé une fois par semaine.

Quels signaux peuvent retarder la récupération malgré un nettoyage ?

Plusieurs facteurs ralentissent le processus même si le code malveillant est éliminé. Les backlinks toxiques générés par le hack restent actifs : si l'attaquant a créé 10k liens depuis des fermes russes vers vos pages infectées, ces signaux polluent votre profil pendant des semaines.

La mémoire cache de Google joue aussi. Certaines pages hackées restent en cache pendant 2-3 semaines après nettoyage. Les utilisateurs voient encore du spam dans les SERPs via les snippets mis en cache, ce qui maintient un CTR faible et envoie des signaux négatifs. Forcer un recrawl via Search Console aide, mais ne garantit rien.

Dans quels cas cette règle ne s'applique-t-elle pas ?

Si le hack a entraîné une action manuelle de Google (notification dans Search Console), le délai ne tient plus. Vous devez d'abord soumettre une demande de réexamen après nettoyage, attendre la validation humaine de Google (1-3 semaines), puis compter encore 2-4 semaines pour la récupération des classements. On passe facilement à 6-8 semaines au total.

Les sites qui ont été désindexés totalement (not indexed, pas juste baisse de ranking) ont un parcours plus long. Google doit reconstruire la confiance, re-crawler l'intégralité du site, re-évaluer l'autorité. Le « pas de rancune » est vrai, mais la reconstruction de la réputation algorithmique prend du temps. Ne vous attendez pas à retrouver vos positions en 15 jours.

Que faire immédiatement après avoir détecté un hack SEO ?

Isolez le site avant toute intervention. Mettez-le en mode maintenance si possible, ou au minimum créez une copie complète de l'état actuel (fichiers + base de données) pour analyse forensique. Ne commencez pas à supprimer des fichiers au hasard : vous risquez d'effacer des traces utiles pour comprendre le vecteur d'attaque.

Identifiez toutes les backdoors avant de nettoyer quoi que ce soit. Scannez les fichiers modifiés récemment, cherchez les utilisateurs admin créés dans la dernière semaine, auditez les tâches cron suspectes. Si vous nettoyez sans fermer la porte d'entrée, vous serez réinfecté sous 24-48h et repartirez de zéro.

Comment s'assurer que le nettoyage est vraiment complet ?

Comparez une installation vierge de votre CMS avec vos fichiers actuels. Tous les fichiers core de WordPress/Drupal/etc. doivent être strictement identiques. Toute différence = suspect. Vérifiez particulièrement les fichiers .htaccess, php.ini, wp-config.php, et tous les templates modifiés récemment.

Auditez la base de données pour du code obfusqué. Les hackers injectent souvent du JavaScript encodé en base64 dans les options, les widgets, ou les shortcodes. Recherchez des patterns suspects : eval(base64_decode, des URLs vers des domaines russes/.tk/.pw, des chaînes hexadécimales longues sans raison.

Quand et comment resoumettre le sitemap après nettoyage ?

Attendez 48-72h après le nettoyage complet pour vérifier qu'aucune réinfection ne se produit. Monitorer les logs serveur pour détecter des connexions suspectes, des modifications de fichiers, ou des requêtes POST inhabituelles. Si tout est stable pendant 3 jours, vous pouvez resoumettre.

Avant de resoumettre, générez un sitemap propre qui exclut toutes les URLs spam créées par le hack. Si le hack a généré 5000 pages /cheap-viagra/, ne les incluez pas dans le sitemap même si elles existent encore techniquement. Configurez des 410 Gone ou des redirections 301 vers la home pour ces URLs, puis soumettez uniquement vos pages légitimes.

• Créer une sauvegarde complète avant toute intervention pour analyse forensique
• Scanner tous les fichiers modifiés dans les 30 derniers jours et comparer avec une install propre
• Auditer la base de données pour du code obfusqué (base64, eval, iframes cachés)
• Fermer toutes les backdoors : utilisateurs suspects, tâches cron, fichiers .htaccess modifiés
• Attendre 48-72h post-nettoyage pour confirmer absence de réinfection
• Générer un sitemap propre excluant toutes les URLs spam, soumettre via Search Console
• Monitorer Search Console et logs serveur pendant 4-6 semaines pour détecter anomalies