SG SiteGarde
Connexion Essai gratuit
Retour au blog Sécurité WordPress - 11 min

Pharma hack : détecter et corriger cette infection SEO discrète

Le pharma hack injecte des liens vers des pharmacies illégales dans votre site sans que vous le voyiez. Guide complet pour le détecter, nettoyer et prévenir sa réapparition.

Le pharma hack — ou "pharmaceutical hack" — est l'une des attaques SEO les plus répandues et les plus difficiles à détecter. Son nom vient de sa cible de prédilection : injecter du contenu promotionnel pour des pharmacies en ligne illégales (Viagra, Cialis, pilules amaigrissantes) dans des sites web légitimes. L'objectif est d'exploiter l'autorité de votre domaine pour positionner des sites illégaux sur des mots-clés pharmaceutiques très lucratifs.

Pourquoi le pharma hack est particulièrement dangereux

L'invisibilité comme arme principale

Contrairement à un défacement classique qui modifie visiblement votre site, le pharma hack est conçu pour rester totalement invisible à l'administrateur. Le code malveillant :

  • S'affiche uniquement pour Googlebot et les visiteurs venant des moteurs de recherche
  • Reste caché pour les administrateurs connectés (détection de la session)
  • Utilise du CSS ou du JavaScript pour masquer le contenu aux humains
  • Peut être encodé en base64 pour résister aux scans basiques

L'impact SEO est immédiat et durable

ConséquenceImpactDélai de manifestation
Pénalité manuelle GoogleDéréférencement partiel ou total1 à 4 semaines
Alertes Safe BrowsingAvertissement rouge dans ChromeImmédiat
Association domaine / spamPerte de confiance long termePermanente si non traité
Déindexation progressiveChute de trafic organique2 à 8 semaines

Signes révélateurs d'un pharma hack actif

Dans les résultats Google

Tapez dans Google : site:votresite.fr viagra ou site:votresite.fr cialis

Si des résultats apparaissent avec votre domaine mais un contenu de pharmacie en ligne, votre site est compromis.

Dans Google Search Console

  • Apparition de mots-clés pharmaceutiques dans le rapport "Requêtes"
  • Nouvelles URLs indexées avec des chemins comme /buy-viagra/, /online-pharmacy/
  • Message "Ce site pourrait être piraté" dans le panneau de sécurité
  • Baisse soudaine des impressions sur vos mots-clés légitimes

Dans les fichiers de votre site

``bash # Rechercher du code encodé suspect grep -r "base64_decode" /var/www/html/ grep -r "eval(" /var/www/html/wp-content/themes/ grep -r "gzinflate" /var/www/html/ ``

Vérification externe rapide

Testez votre site avec l'API Safe Browsing de Google :
https://transparencyreport.google.com/safe-browsing/search?url=votresite.fr

Types de pharma hack et leurs signatures

Pharma hack via injection de base de données

Le contenu malveillant est stocké dans la base de données WordPress, souvent dans les options ou les posts :

``sql -- Rechercher dans la base de données WordPress SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%viagra%' OR option_value LIKE '%cialis%'; ``

Pharma hack via fichiers PHP injectés

Des fichiers PHP sont créés dans des répertoires normalement réservés aux médias (wp-content/uploads) où les fichiers PHP devraient être inexistants.

Pharma hack via modification de thème

Le fichier header.php ou functions.php du thème actif est modifié pour inclure dynamiquement le contenu malveillant conditionnellement (seulement pour les bots).

Procédure de nettoyage complète

1. Isoler le site

Mettez le site en mode maintenance avec une page 503 + Retry-After pour stopper l'hémorragie SEO.

2. Sauvegarder avant de nettoyer

Conservez une copie du site infecté pour analyse ultérieure. Ne restaurez pas directement depuis cette sauvegarde.

3. Scanner avec des outils spécialisés

  • Sucuri SiteCheck : scan externe gratuit
  • Wordfence : scan interne WordPress des fichiers modifiés
  • Maldet (Linux Malware Detect) : scan des fichiers système

4. Nettoyer ou restaurer

Option recommandée : Restaurer depuis une sauvegarde antérieure à l'infection (vérifiez que la sauvegarde est propre avec Sucuri avant de restaurer).

Si aucune sauvegarde propre :

  1. Réinstaller WordPress core depuis un ZIP officiel
  2. Supprimer tous les thèmes et plugins, réinstaller depuis wordpress.org
  3. Nettoyer la base de données des entrées suspectes
  4. Supprimer les fichiers PHP dans wp-content/uploads

5. Combler la faille

L'infection reviendra si vous ne trouvez pas comment elle s'est introduite. Consultez notre guide sur les plugins WordPress vulnérables.

6. Demander la révision Google

Dans Search Console > Sécurité et actions manuelles, soumettez une demande de réexamen en détaillant les mesures prises.

Articles connexes : Japanese SEO spam | Casino hack et contenu parasite | Nettoyer un WordPress infecté

Surveiller mes URL