SG SiteGarde
Connexion Essai gratuit
Retour au blog SEO Technique - 9 min

Comment détecter une redirection malveillante sur votre site web

Les redirections malveillantes redirigent vos visiteurs vers des sites frauduleux sans que vous le sachiez. Apprenez à les détecter, les identifier et les supprimer rapidement.

Une redirection malveillante est l'une des formes d'attaque SEO les plus pernicieuses. Elle détourne vos visiteurs — généralement ceux venant de Google — vers des sites frauduleux, tout en préservant l'apparence normale de votre site pour vous quand vous le consultez. Des semaines peuvent s'écouler avant que vous ne réalisiez que votre trafic a été compromis.

Comment fonctionnent les redirections malveillantes

La technique du cloaking

L'attaquant exploite le cloaking : afficher un contenu différent selon l'identité du visiteur.

Le site semble normal pour :

  • L'administrateur connecté dans WordPress
  • Les visiteurs qui arrivent directement en tapant l'URL
  • Les testeurs qui vérifient depuis l'IP du propriétaire

La redirection est activée pour :

  • Les visiteurs arrivant via Google (détectés par le Referer HTTP)
  • Les visiteurs sur mobile (user-agent mobile)
  • Googlebot (pour empoisonner le référencement)
  • Les visiteurs de certains pays ou régions géographiques

Les mécanismes techniques utilisés

Injection PHP dans wp-config.php ou functions.php :
``php // Code malveillant typique (obfusqué) eval(base64_decode("...code_masqué...")); ``

JavaScript injecté dans le header global :
``javascript if (document.referrer.indexOf("google") > -1) { window.location = "https://site-frauduleux.com"; } ``

Fichier .htaccess modifié :
``apache RewriteCond %{HTTP_REFERER} google RewriteRule ^(.*)$ https://site-frauduleux.com [R=302,L] ``

Signaux d'alerte à surveiller

Dans Google Search Console

  • Mots-clés inhabituels dans le rapport de performance : termes liés aux jeux d'argent, médicaments, contenus adultes
  • Baisse soudaine du taux de clic (CTR) sans baisse de position — les visiteurs arrivent sur votre snippet mais atterrissent ailleurs
  • Alertes de sécurité de Google signalant que votre site distribue du contenu malveillant
  • Pages inconnues indexées avec des URLs qui ne correspondent pas à votre structure

Dans Google Analytics

  • Taux de rebond anormalement élevé sur certaines sources de trafic (particulièrement Google Organic)
  • Durée de session nulle pour certains segments de visiteurs
  • Aucune conversion malgré un trafic en apparence normal

Rapports de visiteurs

Souvent, la première alerte vient d'un utilisateur qui vous signale avoir été redirigé vers un site bizarre après avoir cliqué sur votre résultat Google.

Méthodes de détection technique

Test en navigation privée depuis une autre connexion

Ouvrez votre site en mode incognito depuis un réseau différent (partage de connexion mobile), en arrivant depuis Google.com. Vous reproduisez les conditions d'un visiteur lambda et verrez la redirection si elle est active.

Inspection du cache Google

Recherchez cache:votresite.fr dans Google. La version en cache montre ce que Google a indexé — si elle contient des liens ou textes suspects, votre site est compromis.

Analyse du code source avec curl

``bash # Simuler Googlebot curl -A "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" \ --referer "https://www.google.com/search?q=test" \ -I https://votre-site.fr/votre-page ``

Comparez la réponse avec une requête curl standard. Une différence de code HTTP (200 vs 302) révèle un cloaking actif.

Scan automatisé

Des services comme Sucuri SiteCheck ou SiteGarde scannent régulièrement vos pages depuis l'extérieur pour détecter les comportements anormaux de redirection.

Procédure de suppression d'une redirection malveillante

Étape 1 : Isoler la source

Commencez par vérifier les fichiers les plus souvent ciblés :

  1. .htaccess à la racine et dans /wp-content/
  2. wp-config.php — cherchez du code encodé en base64 ou des eval()
  3. functions.php du thème actif
  4. index.php de WordPress core
  5. Plugins récemment installés ou mis à jour

Étape 2 : Supprimer le code malveillant

Ne supprimez que le code clairement identifié comme malveillant. Sur WordPress, comparez vos fichiers core avec les originaux téléchargés depuis wordpress.org.

Étape 3 : Changer tous les mots de passe

Même après suppression du code, l'attaquant peut avoir un accès persistant via une backdoor. Changez immédiatement : mot de passe WordPress admin, FTP, cPanel, base de données.

Étape 4 : Mettre à jour et sécuriser

Consultez notre guide complet sur la sécurisation WordPress pour les mesures préventives à mettre en place immédiatement après l'incident.

Étape 5 : Demander la révision Google

Si votre site a été signalé par Google comme malveillant, soumettez une demande de réexamen dans Search Console après avoir nettoyé le site.

Articles connexes : Redirections JavaScript et meta refresh | Sécuriser WordPress | Pharma hack : détecter et corriger

Surveiller mes URL