13/12/2017

Mon site est hacké, que faire pour désindexer les mauvaises url ? #SEO

Comment corriger le hack japonais ?


Tout site peut être la cible de pirate, ne croyez pas que c'est obligatoirement par wordpress, mais c'est un des cas que l'on rencontre souvent parcque c'est l'une des solutions numéro 1 dans le monde.

Pourquoi les japonais veulent hacker mon site ?

Pour gagner des sous en affiliation, pour vous demander une rançon, parcqu'un script kiddy a un script qui détecte votre version de wordpress et sait qu'il y a une faille spécifique, pour plomber votre ranking si c'est un concurent qui vous le fait. Bref y'a pleins de raisons, et ça peut arriver à tout le monde.

Comment limiter les hacks sur son site ?

Le site est hacké, pas faute d'avoir mis à jour le core de wordpress, mais il faut aussi le faire pour le plugin, et si vous avez un thème, il faut s'assurer que le thème n'ai pas de faille, et surtout que lorsque vous mettez à jour, le thème enfant ne soit pas copié collé en entier pour prendre en compte les modifications du thème parent.

Le thème enfant se retrouverait alors avec des fichiers qui ne sont pas patché pour ladite faille de sécurité. Je ne vais pas vous parler des techniques de hacking, mais de quoi faire une fois que vous avez nettoyé ou fait nettoyé.

Cette technique s'applique a wordpress, mais également à magento (même si j'ai arrêter de faire du magento) le système d'héritage c'est bien pour éviter que le site soit planté lors d'une mise à jour, mais si des fichiers sont vulnérable dans votre thème enfant, c'est aussi une porte d'entrée.


Google et le hacking quelles ressources ?


Je remercie Vincent Courson que je place vraiment au dessus de Muller chez google parcqu'il va plus loin que l'info de base et il y a du tech derrièr, et en plus il m'a répondu à 1h du matin.

Quelques technique de hacking sur votre wordpress

Donc le site se fait hacker par un japonais, il s'en fout de savoir si vous avez un wordpress. Il va vous injecter un en-tête dans le header encodé base64 pour faire des 301 vers une autre url qui sera chargée dynamiquement en lisant différents fichier txt disséminé sur d'autres sites hacké via des short url.

Il aura sûrement pris soin d'uploader un loader ftp qui va lui permettre d'injecter un fichier à la racine ou aller modifier des fichiers en les faisant réécrire avec les droits apache, et il peut même faire ça par une injection sql en allant faire chercher des fichiers externes à installer sur le site. Et pour couronner le tout, il va se créer un fichier de validation pour accéder à la google console où il pourra faire ce qu'il veut si vous n'y faite pas gaffe, comme vous virer de la propriété, et soumettre son sitemap.

Donc vous vous retrouvez avec une mini boutique et si vous étiez japonais vous changeriez complètement l'objet du site pour vendre ce qu'il vendait en contrefaçon directement avec la marque parcque vous seriez sûrement 1er dans google sur la plupart des requêtes.

Oui mais non, vous avez une entité, c'est votre fierté, donc vous avez identifié d'où venait le hack, mais lorsque vous faite site:monsite.com vous avez toutes les urls qui certes sont en 404 mais apparaissent toujours dans google.

En prime vous aurez le petit messsage indiquant que votre site a été hacké, et une petite pénalité manuelle. Le petit malin a même installé à la racine un sitemap à la racine et créé pleins d'url aspx à la volée. Total : 200 000 résultat lorsque je fais site:lesite.com

Comment savoir si vous avez été hacké ?

La commande "site:" permet de voir les url que google connaît de votre site.

site:votresite.com

Si vous voyez des url bizarres, ou des contenus qui ne sont pas de votre site, c'est que vous êtes probablement hacké. Si google s'en aperçois, vous aurez un message dans la google console, et un message indiquant aux internautes que vous avez été hacké ou que le site est pas sécurisé. Google vous donnera la procédure pour déclarer que le site n'est plus hacké.

Comment nettoyer le site d'un hacking ?

1ère étape : Supprimer le hack du site
2ème étape : Envoyer un message indiquant que vous avez bien nettoyé le site, et faire les check nécessaire pour le prouver
3ème étape : supprimer les urls indésirables

1ère étape : supprimer le hack du site

Checker si votre site est hacké

VirusTotal, Aw-snap.info, Sucuri Site Check et Quttera


Faites appel à un professionnel si vous n'y connaissez rien au code, une fois nettoyé, installez wordfence pur savoir quand des fichiers sont modifiés sur votre site et voir les utilisateurs qui s'y connectent à partir de quel endoit.  Vérifier les fichier php principaux, dans wordpress :
index.php, wp-load.php, 404.php et view.php, header.php. Si vous avez du code php qui commence par eval, c'est pas bon, si vous avez dedans le mot clé base64 aussi, essayez de décodere avec des outils en ligne qui permettent de décoder le base64, vous verrez quelle est l'url renvoyée à google.

Google a mis en place des outils pour faire un check (site:, explorer comme google, outils pour webmasters)

https://support.google.com/webmasters/troubleshooter/6155978


2ème étape : Avertir google que vous avez patché le site

Dans la search console au niveau du message qui vous indique que le site est hacké, vous cliquez sur le bouton pour dire à google de virer la mention. N'hésitez pas a détailler tout ce que vous avez fait : mise à jour du core, mise à jour du thème, changé tous les mots de passe, etc. Vérifiez que le hacker n'a pas créé un compte dans la google console. Vérifiez votre fichier htaccess, il peut y avoir du cloaking dedans.

Conseil pour la validation pour la google search console 

Pour la validation du compte, évitez la validation par l'insertion du fichier html a la racine et celle avec l'en-tête dans le header, vu que le hacker y a accès, faite une validation par DNS.

3ème étape : désindexer les url indésirables

Donc j'ai posé la question à Vincent Courson de chez google et je mettrais en avant l'effort d'organiser des hangout mensuel pour répondre à toutes les questions qui lui sont posées.


Je savais qu'il fallait envoyer de la 410 pour que ça ailles plus vite, mais le problème c'est que j'ai 200 000 résultats pour un site qui doit avoir 200 pages.



On a donc pas de sitemap pour répertorier les url qui sont absente pour demander au moins la désindexation temporaire, mais je doute que 200 000 url ce soit bien mangé par google.

Dans mon malheur, j'ai la chance qu'il se soit servi d'un sous-répertoire qu'il a créé. Si c'est à la racine, c'est grosse galère pour vous.

Donc autre solution, renvoyer une 410 pour toutes les url qui sont dans ce sous-répertoire

A mettre dans le htaccess

Redirect gone /nomrepertoire(.*)/


Donc Etape 1







Il y a une doc spécifique pour le hack japonais chez google

https://developers.google.com/webmasters/hacked/docs/fixing_the_japanese_keyword_hack


Passer de Http à https


Ma solution plutôt que de s'embêter avec les url japonaise en attendant, c'est de redonner confiance à google.

Passage de http à https, cela ne va pas vous protéger si un hacker a déja posé un script et qu'il y fait appel de l'extérieur, mais en tout cas les données seront cryptées et si il y a un appel extérieur, vous ne verrez plus le cadenas en vert, et c'est déja un petit signal.

Déclarer les erreurs 404 en 410


Je vous passes les redir du http vers https, par contre il va falloir faire quelque chose pour les 404. A priori les 404 c'est la même chose pour google à un détail près, c'est qu'une erreur 404 google va revenir régulièrement pour voir si la page est revenue, avec une 410 on lui dit que l'url est définitivement supprimer, et parfois il désindexe.





Redirect Gone


Astuce donnée par RaphSEO




Setup 410 Error Pages

The best way to set up the 410 error pages on Apache servers is to call the default 410 HTTP server response. Here is what we added to our .htaccess file in the root of the server.

Redirect gone /path/path/folder/
ErrorDocument 410 default

Note always keep a backup of .htaccess file before editing it as it a avery powerful file and can take your site offline if incorrectly configured. It is important you add the path of the content folder and not the full http:// url.

So now when you visit these pages, you get the default 410 error page from the server

Patch rapide pour supprimer les url japonaises

Déclarer la liste des url a supprimer. Il faudra que vous fassiez un scrap pour récupérer les url. je vous conseille d'afficher les résultats par 100 dans les paramètres google. Ah et voilà comment être en 1ère page contractuellement avec vos clients (ok c'est une blagounette douteuse)

Voilà avec ça on empêche au moins l'affichage des mauvaises url pendant 3 mois



Attention parcque si on disallow pour le robots.txt, il crawl plus. Donc je vais d'abord faire mes 410, faire mon recrawl et ensuite je bloquerais et déclarerais les pages a faire disparaître.

Empêcher l'accès à la page par mot de passe, mettez no Index et permettez le crawl


Pour empêcher définitivement une page de s'afficher dans nos résultats de recherche, supprimez la page de votre site, protégez-la avec un mot de passe ou ajoutez une balise NOINDEX à cette dernière et autorisez Googlebot à l'explorer.




Dans mon cas je dois faire disaraitre tout ce qui est dans un répertoire

Google fera disparaitre l'url plus toutes les variantes avec ou sans "www" et http/https


Voilà j'en ai pour 3 mois de tranquilité, et la suit au prochain épisode pour récupérer ses positions initiales dans google (oui un hack a un impact sur le référencement)

Je teste tout ça et je vous fait un retour bientôt














17/11/2017

Donne plus de visibilité à ce site

Aujourd'hui il ne faut plus voir le SEO comme un seul moyen d'avoir de la visibilité. Il y a d'autres technologies qui émergent et leur réussite va venir de leur adoption par le grand public.

Comment faire adopter une nouvelle technologie ? 

Pour certain c'est simplement d'abandonner certaines fonctionnalités pour rendre un produit obsolète. On a déjà vu ça pour les smartphones, c'est le cas pour ceux qui utilisaient une extension firefox qui rend obsolète 80% des extensions que vous utilisiez, dont la web developper bar. Ca va être le cas pour que vous passiez du desktop au mobile pour vos recherches internet, et que vous jetiez vos enceintes bluetooth pour les remplacer par des enceintes avec assistant embarqué : Google Home, Alexa, cortana etc..

OK google fais ranker ce site


OK Google fais moi ranker ce site

Hier j'ai reçu un mail de google, oui il ne m'écris pas que pour me dire que j'ai atteint presque les 6 millions de vues sur les photos que j'ai mis sur les fiches street view, parfois il m'envoie des annonces sur des nouveaux services qu'il met en place.

Celui là m'a parlé d'assistant. C'est la fin d'année, google voudrait bien que vous ayez un assistant Google Home sous le sapin, mais il est déjà intégré sur vote téléphone si vous avez un téléphone sur android.

Avec cette requête google ne comprendra pas le mot ranker

Comment activer l'assistant Google sur votre smartphone ?

Pour activer l'assitant google, il suffit de cliquer 2 fois sur le bouton home et voilà que l'assistant va se déclencher. (sur cette requête google vous donnera directement la procédure via son support)

Vous n'avez plus qu'à lui poser des questions comme : Google fais mois ranker ce site.

Et google va vous faire des propositions. Si vous lui posez des questions simples qui impliquent une réponse unique, google vous donnera la réponse immédiatement sans vous renvoyer ailleurs. Par contre si la requête peut avoir plusieurs réponses, google renverra plusieurs résultats.

Pour le référencement naturel qu'est-ce que cela implique la recherche vocale sur les assistants virtuel ? 

Cela oblige à trouver la bonne question, pour cela je vais vous l'illustrer avec un extrait de Matrix et du Mérovingien.


Revenons en au mail que j'ai reçu : une petite pub de l'assistant google avec une mise en avant du chatbt de voyages sncf, avec un lien à cliquer.





Bien évidemment pourquoi aller cliquer sur un lien alors que je peux commander vocalement à la voix pour qu'il fasse la recherche.

donc je dicte exactement ce qu'il y a marqué dans le mail.

Voilà ce que me propose l'assistant google :




Oh mon article sur la Lune ;-)

Allez a votre tour d'essayer : dites OK google, donne plus de visibilité à ce site, et vous cliquez sur mon résultat, on va voir si le CTR du vocal fais monter le résultat dans les SERP



31/10/2017

Avantages d'utiliser les outils google pour le SEO

Les services Google bons pour votre référencement naturel (la plupart ici ne serviront à rien)


Je voulais faire un article court pour compléter la vidéo d'Olivier ANDRIEUX qui posait la question de savoir si utiliser les outils de google pouvaient donner un boost SEO. Que l'on soit clair, la plupart des services cités par Olivier n'apportent aucun boost SEO, mais certains peuvent tout de même appirter de la visibilité, et même angular JS est en complète opposition avec le moteur de recherche de google.

20/09/2017

Google va enrichir la commande "site : "


Nouvelles fonctionnalités pour la commande site:

Ce matin, je vérifiais une url pour savoir si elle était correctement indexée, et là j'ai eu un truc bizarre: l'url n'apparaissait pas, mais par contre si je cherchais le produit, celui-ci se trouvait bien en 1ère page.

Je pense qu'il y a un bug avec la commande site: et en me connectant sur twitter, Gary IllYes venait de twitter à propos de cette commande.

Gary Illyes précise qu'il y a un bonus qui s'affichera si on est en mode connecté, et il s'agit probablement d'un leak.



26/06/2017

Comment les licornes chient des glaces arc en ciel ?

C'est l'été, j'ai fais 2 articles aujourd'hui que je pense devrait vous intéresser, mais il faut aussi travailler l'inbound marketing et le putaclic, donc voici l'article qui va égayer votre lundi. on va parler de vidéo avec des licornes. Je viendrais mettre des lolcats de temps en temps.

Comment les licornes font des glaces arc-en-ciel ?


Comment les licornes font des glaces arc-en-ciel ?


 Vous vous êtes toujours demandé comment les licornes faisaient caca ?

Voici la réponse en vidéo.

Est-ce que vous mangeriez des glaces de licorne sachant comment elles sont produites ? à priori les enfants aiment ça, et ça ne les dérange pas d'avoir du papier toilette pour s'essuyer la bouche.


Google my business site internet et posts #seo #local #googlemybusiness

Google a annoncé une évolution de ses services Google my business, c'est presque la mort des développeurs web et des réseaux sociaux ;-)

Optimiser sa page Google My Business pour le référencement local



google my business Posts  google my business avec call to action pour acheter
Post google my business avec call to action pour acheter du saucisson cochonou

Qu'est-ce que Google My business ?

Google my business est un service gratuit permettant aux entreprises qui ont un business local de créer une fiche qui apparaîtra en fiche enrichie dans google sur le côté droit lorsque l'on cherche votre société dans google et lié a google map.

Se préparer à l'index mobile first

Comment préparer son site pour l'inclusion dans le futur index mobile first de google ? 

 

Si vous avez un site qui est responsive, vous n'aurez pas de souci. Si vous avez un site qui n'est pas responsive et que vous voulez faire une refonte, faites moi signe, je vous ferais un site sous wordpress qui répondront aux exigences d'un site responsive, Google SEO friendly.


16/06/2017

Migrer son site en HTTPS sur ovh mutualisé avec le certificat SSL gratuit

Chuck Norris en http vs chuck norris en https



Vous avez décidé de passer en https parcque vous avez entendu qu'il y avait un boost SEO si vous mettez en place HTTPS.

Je vais vous donner 2 informations : le boost n'est pas faramineux et la vérité est ailleurs, et la méthode pour y appliquer le boost va vous faire comprendre pourquoi le boost n'est pas important.

Comment bénéficier du boost SEO lié au https ?

Gary Illyes a avoué dans un tweet il y a quelques mois déjà que la vérification du côté de chez google pour appliquer le boost seo est basé sur les premiers caractères de l'url.

A partir du moment où il y a écrit https dans l'url, google l'applique !

Désolé il faut que je remonte ma timeline sur tweeter pour retrouver le tweet et ma demande de confirmation à Gary Illyes pour  être sûr que je n'avais pas mal intérprété ce qu'il a dit, mais il l'a redit à Vivatech hier.

Les vrais raisons de passer en https

Quoi vous êtes surpris ? vous avez acheté un certificat SSL super cher pour ça et vous vous apercevez qu'avec un certificat gratuit SSL let's encrypt suffisait ? Comme tout achat, ne le faîtes pas pour de mauvaises raison.

Passer en https pour la sécurité des transaction pour l'utilisateur

 Le SSL c'est pour sécuriser les transactions, rassurer les clients sur votre identité et là vous prenez un certificat payant avec le plus haut niveau de sécurité, alors oui si vous l'achetez pour un petit blog, cela ne vous servira à rien. 

Quelle est la différence entre http et https ?

Je vais scénariser même si pas tout n'est complètement vrai.

En http avec Chuck Norris

trouvé sur pinterest


Imaginez que vous êtes dans une voiture décapotable http avec Chuck Norris, vous sortez du garage et vous vous rendez à la banque pour lui déposer des infos super confidentielles et importantes. 


18/05/2017

Google IO 2017, google ai, google for job, journée de l'emploi #votrejob




Hier a eu lieu la keynote de google IO17 où sont présenté les nouveaux produits de google. Il y a pleins de choses qui se passent sur la réalité virtuelle et la réalité augmentée, (je vous laisse découvrir mon site 360live.fr pour ça) par contre il y a des évolutions des services au niveau de l'intelligence artificielle qui ont maintenant leur propre site : google.ai

Google Lens, la réalité augmenté dans google street view


Google a mis en avant la réalité augmenté avec google lens qui fait apparaitre en surimpression des informations sur les commerces, mais également sur tout objets. Je m'en servais avec google transate qui me permettait de traduire tout les mots en espagnol en temps réel.



Google AI Le nouveau site qui regroupe les services d'intelligence artificielle de google

Vous allez retrouver sur le site google AI l'application open source tensorflow qui permet d'analyser les images et tout autre données et y ajouter des plugin. C'est un réseau neuronal et google met à disposition 1000 serveurs pour cet usage.



Google Job search

C'est le point sur lequel je voulais en venir, hier était organisé sur twitter la journée de l'emploi, j'avais monté pour l'occasion un site internet Votrejob.link

Le site permet pour les employeur de poster des offres d'emploi (des vrais) et voilà que hier soir google lance Google Job qui va aggréger les offres d'emploi.

Ca ne sonne pas encore la fin de la récréation mais il va falloir rapidement s'adapter, et heureusement, j'ai pensé à le rendre compatible google job.


En creusant un peu plus je suis retourné sur un article que j'avais vu passer en novembre a propos d'un service cloud JOBS API

Si vous regardez la tête d'une annonce d'emploi, en tout cas celles que j'ai pu mettre en place sur votrejob.link, vous avez l'impression que tous les titres se ressemble, qu'à l'intérieur des contenus, il y a des choses qui sont répétées et qui modifient le comportement du moteur de recherche interne, et celui qui cherche un job ne formule peut-être pas de la même manière qu'un recruteur professionnel.

Le candidat cherche l'info avec ses mots et n'a pas la notion de ce que cache la notion d'un titre de métier et ce que celà impliqu comme diplôme derrière et compétences.

Le cloud JOBS Api sert à ça. D'un côté il y a un toutes les informations de l'annonce de job qui est normés par l'intelligence artificielle de google, qui va nettoyer tous le bruit pour ne garder que l'essentiel du post (lemmatisation, acronymes, sens des mots, désambiguité).

L'étape d'après c'est de faire correspondre l'intention de l'utilisateur en entrée pour le faire correspondre à la définition d'un emploi, et lui donner des résultats plus pertinents.


L'intelligence artificielle va faire le rapprochement de la galaxie de job. Elles sont basés sur la classification ONET https://www.onetonline.org/

C'est l'équivlent de nos codes rome dont on essaie de se débarrasser en France parcque c'est compliqué, je pense qu'avant un déploiement en France il vont être obligé de l'adapter avec nos codes Rome et qu'il va falloir entrainer l'intelligence artificielle de google pour adapter les titres métiers.
10/05/2017

Certification mobile sites google #seo , #shake17 @shakeevent

Je suis le 1er français qui a réussi la certification mobile sites de google.

La plupart des questions ne reposaient pas sur amp ou sur les sites responsives mais sur les progressives web app.

Aujourd'hui google propose un outil pour checker que tout se passe correctement. Une checklist un peu comme le testeur web mobile.

https://developers.google.com/web/progressive-web-apps/checklist

Cela vous permettra de télécharger le plugin lightouse tool

Au passage il reste des places pour #shake17