Imaginez qu’un internaute recherche un site web comme le votre. Vos efforts de SEO ont porté leurs fruits – votre site atterrit en haut des résultats de recherche, et le client potentiel clique sur le lien, pour se retrouver face à un avertissement indiquant qu’il y a un « Deceptive site ahead » ou que « Le site contient un logiciel malveillant ».

Mais vous n’essayez pas de tromper qui que ce soit. Pourquoi Google afficherait-il un avertissement sur votre site ?

Bien que ce message puisse être alarmant, la bonne nouvelle est que les avertissements de sites web comme « site trompeur » peuvent être corrigés. Continuez cette lecture pour découvrir ce que signifient ces avertissements et comment les supprimer de votre site web.

Consultez notre guide vidéo pour corriger l’avertissement « Deceptive Site Ahead »

Que signifie « Deceptive site ahead » ?

Découvrir que votre site web a un avertissement est un choc. Votre première réaction pourrait être de penser qu’il n’y a aucun problème avec votre site. Après tout, vous savez que vous n’avez rien mis de dangereux dessus.

Mais quelqu’un d’autre l’a peut-être fait.

Avertissement de contenu trompeur sur un site Web, affichant le texte « Deceptive site ahead : Les attaquants de ce domaine peuvent vous inciter à faire quelque chose de dangereux, comme installer un logiciel ou révéler vos informations personnelles. »
Avertissement de contenu trompeur sur un site Web.

Nous avons tous lu des articles sur les cyberattaques contre les grandes entreprises dans les journaux, mais cela peut aussi arriver aux petits sites. En fait, 46 % des violations de données arrivent aux petites entreprises.

Les types courants de piratage de sites web comprennent l’injection d’URL, c’est-à-dire lorsqu’un pirate crée des pages de spam sur un site, et l’injection de contenu, comme l’ajout de mots-clés et du texte en charabia.

Si vous recevez l’un des avertissements de Google, cela peut indiquer que vous avez été piraté. Il est aussi possible que vous ayez configuré votre site d’une manière qui ne plaît pas à Google.

Les raisons de ces avertissements sont les suivantes :

Pour faire disparaître l’avertissement, vous devrez soumettre à nouveau votre site web à Google et demander à ce qu’il ne soit plus signalé comme dangereux ou trompeur. Heureusement, c’est un processus assez simple.

Ne soumettez pas votre site à Google avant d’être sûr que le problème de votre site web a été résolu (plus d’informations à ce sujet plus tard).

Les messages d’avertissement des sites web et ce qu’ils signifient

« Site trompeur » n’est pas le seul avertissement que Google joint aux sites web. Bien que la solution – soumettre à nouveau votre site à Google – soit la même pour tous ces messages, la signification de chacun d’entre eux est légèrement différente.

Comprendre ce que signifie l’avertissement est la première étape pour le corriger. Jetons donc un coup d’œil à quelques-uns des plus courants.

« Deceptive site ahead »

Cet avertissement fait spécifiquement référence aux sites web qui pourraient être des sites d’hameçonnage. Par exemple, il peut s’agir d’une page conçue pour avoir l’air d’appartenir à votre site web mais utilisée pour voler les informations personnelles des utilisateurs.

« Le site contient des logiciels malveillants »

Cela indique que le site web pourrait essayer d’installer un logiciel nuisible sur l’ordinateur d’un visiteur du site. Le logiciel malveillant peut potentiellement être intégré à votre site dans des endroits comme des images, des composants tiers ou des publicités.

« Site douteux »

Il s’agit d’un avertissement général indiquant que Google a jugé un site suspect et potentiellement dangereux.

« Le site contient des programmes malveillants »

L’erreur « Programmes malveillants » prévient que votre site web pourrait essayer d’inciter les visiteurs à installer des programmes qui causent des problèmes lorsqu’ils naviguent en ligne.

« Cette page essaie de charger des scripts à partir de sources non authentifiées »

Bonne nouvelle : si c’est l’avertissement que Google a associé à votre site, vous n’avez probablement pas été piraté. Cela signifie généralement que votre site web est en HTTPS mais qu’il essaie de charger des scripts à partir de sources HTTP.

« Voulez-vous dire [Nom du site] ? »

Google affiche ce message aux visiteurs du site lorsqu’il pense qu’ils recherchent un autre site avec un nom similaire. Les pirates créent parfois des sites qui ne sont qu’à une lettre ou un trait d’union d’un site sûr pour inciter les visiteurs à donner leurs informations personnelles.

La procédure pour demander à Google d’examiner ce problème est un peu différente des autres avertissements. Si vous ou les visiteurs de votre site reçoivent un avertissement « Voulez-vous dire [nom du site] ? », Google vous demande de les contacter à ce sujet en utilisant ce formulaire.

« Avertissement de site web frauduleux » (Safari)

Avec 77,03 % de la part de marché mondiale des ordinateurs de bureau, Google Chrome est peut-être le roi incontesté des navigateurs, mais ce n’est pas le seul. Safari (8,87 % de parts de marché) affiche aussi des avertissements de sites web, mais avec un libellé légèrement différent.

« Risque potentiel de sécurité » (Firefox)

Firefox, le troisième navigateur le plus populaire avec une part de marché de 7,69 %, a sa propre série d’avertissements.

Bien que Safari et Firefox puissent formuler leurs avertissements de site web différemment de Google, les causes – et les solutions – sont les mêmes.

Comment réparer les messages d’avertissement de site web

Avant de soumettre à nouveau votre site à Google pour un examen, vous devez vous assurer que vous avez résolu tous les problèmes de sécurité.

Google Search Console (anciennement connue sous le nom de Webmaster Tools) est votre meilleure amie dans ce processus. Grâce à la Search Console, Google vous permet de comprendre facilement ce qui se passe sur votre site, même si vous n’avez pas beaucoup d’expertise technique.

Si vous n’avez pas encore configuré la console de recherche Google pour votre site, c’est le moment idéal. C’est complètement gratuit et cela vous aidera à surveiller, gérer et améliorer votre site bien après que l’avertissement de sécurité soit levé.

1. Afficher ton rapport sur les problèmes de sécurité sur Google Search Console

Connectez-vous à Google Search Console. Si Google a trouvé des problèmes de sécurité, il y aura un lien vers votre rapport sur les problèmes de sécurité sur la page de présentation.

Google Search Console affiche 5 problèmes de sécurité détectés.
Google Search Console montrant les problèmes de sécurité détectés. (Image source : Search Engine Journal)

Vous pouvez aussi accéder au rapport en allant dans Sécurité et actions manuelles , puis dans Problèmes de sécurité dans la colonne latérale.

Il y a plusieurs problèmes de sécurité possibles que vous pourriez voir dans votre rapport. Google classe les problèmes en trois groupes : contenu piraté, ingénierie sociale et logiciels malveillants ou indésirables. Jetons un coup d’œil rapide à chacun d’eux.

Contenu piraté

Le contenu piraté est tout contenu ajouté à votre site web sans votre permission en raison de failles de sécurité dans le site. Par exemple, un pirate peut ajouter des liens de spam à vos pages web.

Si vous avez été piraté, votre rapport sur les problèmes de sécurité montrera des problèmes tels que :

  • Piraté : Logiciel malveillant
  • Piraté : Injection de code
  • Piraté : Injection de contenu
  • Piraté : Injection d’URL

Ingénierie sociale

L’ingénierie sociale signifie que le contenu de votre site essaie d’inciter les gens à faire quelque chose de dangereux. Par exemple, le site peut avoir des formulaires trompeurs pour convaincre les utilisateurs de révéler des informations confidentielles.

Les problèmes de contenu d’ingénierie sociale sur votre rapport pourraient inclure :

  • Pages trompeuses
  • Ressources intégrées trompeuses

Logiciel malveillant et logiciel indésirable

Ce problème signifie que vous avez des applications ou des logiciels téléchargeables sur votre site web qui peuvent nuire à l’utilisateur. Le propriétaire du site ou un pirate informatique pourrait les avoir installés.

Attendez-vous à voir des problèmes comme :

  • Téléchargements nuisibles
  • Liens vers des téléchargements nuisibles

Quel que soit le problème que vous voyez sur votre rapport, vous pouvez cliquer dessus pour obtenir plus d’informations.

Google donne des conseils sur la façon de résoudre le problème, mais cela peut devenir assez technique. Pour de nombreux problèmes, il existe des moyens plus simples et adaptés à WordPress pour réparer votre site web et supprimer l’avertissement.

2. Trouver et supprimer le code malveillant sur votre site web

Chez Kinsta, nous avons un engagement de sécurité contre les logiciels malveillants. Cela signifie que si votre site web est hébergé chez nous, contactez-nous et nous :

  • Effectuerons une analyse approfondie des fichiers de votre site pour identifier les logiciels malveillants
  • Réparerons le cœur de WordPress en installant une copie propre des fichiers
  • Identifierons et supprimerons les extensions et les thèmes infectés

Mais si votre site WordPress est hébergé ailleurs, vous pouvez essayer de restaurer une version précédente et propre de votre site à partir d’une sauvegarde récente. N’oubliez pas que vous perdrez toutes les modifications que vous as faites depuis que vous avez sauvegardé le site.

Si vous n’avez pas de sauvegarde ou si tu ne voulez pas perdre votre nouveau contenu, il existe plusieurs extensions et services qui peuvent vous aider.

3. Assurez-vous que le certificat SSL est correctement installé

SSL est l’abréviation de Secure Sockets Layer. C’est un protocole de sécurité web qui crypte et authentifie les données lorsqu’elles sont envoyées entre deux applications, comme un navigateur et un serveur web.

Parfois, une installation incorrecte du certificat SSL peut provoquer un message d’avertissement du navigateur. Vous pouvez vérifier votre installation avec des outils comme SSL Checker.

Si votre site web est hébergé par l’intermédiaire de l’hébergement WordPress de Kinsta, il est automatiquement protégé par notre intégration Cloudflare, y compris les certificats SSL gratuits avec prise en charge des wildcards.

Installation du certificat SSL via MyKinsta.
Installation du certificat SSL via MyKinsta.

4. Rediriger le site web de HTTP vers HTTPS

Votre certificat SSL active HTTPS. Tout le monde devrait utiliser HTTPS – c’est plus sûr, meilleur pour le SEO et fournit des données de référencement plus précises.

Malheureusement, le processus de migration de HTTP vers HTTPS peut poser des problèmes.

Il est important de rediriger tout votre trafic HTTP vers HTTPS de façon permanente. Si vous avez un site HTTPS, mais que certains contenus sont chargés via une connexion HTTP moins sécurisée, Google pourrait joindre un message d’avertissement à votre site.

Les clients de Kinsta peuvent utiliser notre outil Force HTTPS pour rediriger le trafic HTTP vers HTTPS en quelques clics. Pour les autres hébergeurs, la solution dépendra du logiciel de serveur utilisé.

Il existe une solution simple qui utilise une extension WordPress pour configurer votre site web afin qu’il fonctionne en HTTPS. Après avoir installé SSL, procurez-vous l’extension Really Simple SSL.

Cela dit, nous ne vous recommandons pas d’utiliser la méthode de l’extension de façon permanente.

Même s’ils peuvent être tentants comme solution rapide, les extensions tierces introduisent une couche de risque supplémentaire. Vous pouvez toujours l’utiliser comme palliatif pendant que vous vous efforcez de résoudre le problème d’une autre manière.

Comment soumettre à nouveau votre site à Google

Vous avez trouvé le problème de sécurité de votre site web et vous avez nettoyé le site. Et maintenant ?

Pour soumettre à nouveau votre site à Google, vous allez utiliser – oui, vous avez deviné – Google Search Console. Voici comment procéder :

Étape 1 : Préparez votre site pour la soumission

Vérifie à nouveau que vous avez supprimé le contenu nuisible de votre site web. Si vous avez utilisé un scanner de sécurité pour trouver le logiciel malveillant, relancez-le.

Soumettre votre site sans régler le problème entraînera des retards supplémentaires.

Pour examiner votre site web, Google doit pouvoir le parcourir. Assurez-vous que vous n’avez pas bloqué Googlebot par le biais des balises noindex ou de toute autre méthode.

Enfin, cela peut sembler évident, mais c’est une erreur déjà commise : si vous avez mis votre site hors ligne pour régler le piratage, assurez-vous qu’il est de nouveau en ligne pour que Google puisse le vérifier.

Étape 2 : Demandez un examen

Retournez dans ta Google Search Console. Dans votre rapport sur les problèmes de sécurité, cliquez sur le bouton Demander un examen (Request Review).

Cela vous amènera à un formulaire qui vous demande de décrire ce que vous avez fait pour résoudre le problème. Écrivez une phrase pour chacun des problèmes de sécurité détectés.

Par exemple, si vous avez reçu les erreurs « Hacked : Content Injection » et « Harmful Downloads », vous pourriez écrire :

Pour l’injection de contenu, j’ai supprimé le contenu de spam et corrigé la vulnérabilité en mettant à jour mes extensions WordPress. Pour les téléchargements nuisibles, j’ai remplacé le code tiers qui distribuait des téléchargements de logiciels malveillants sur mon site web.

Si votre site web a été signalé spécifiquement pour l’hameçonnage, vous pouvez le soumettre à l’examen de Google Search Console comme décrit.

Si vous voyez le message « Voulez-vou dire [nom du site] ? », soumettez votre site via ce lien, pas via la Search Console.

Étape 3 : Attendre

Le temps nécessaire à Google pour examiner votre site web dépend du type de problème de sécurité.

  • Piraté avec du spam : Plusieurs semaines
  • Logiciel malveillant : Quelques jours
  • Hameçonnage : Environ un jour

Si Google constate que votre site est propre, l’avertissement devrait être supprimé dans les 72 heures.

Et si votre site ne passe pas l’examen ?

Si Google détermine que vous n’avez pas résolu le problème, l’avertissement de site web trompeur restera en place. Votre rapport sur les problèmes de sécurité pourrait commencer à afficher d’autres exemples d’URL infectées pour vous aider à retrouver le contenu malveillant.

Qu’en est-il des avertissements sur d’autres navigateurs ?

Si votre site web affiche aussi des avertissements sur Safari ou Firefox, ne vous inquiétez pas. Vous n’avez pas besoin de passer par un processus d’examen distinct pour chaque navigateur.

Message d'avertissement de risque de sécurité de Firefox avec le texte
Message d’avertissement de risque de sécurité de Firefox.

Firefox et Safari, ainsi que de nombreux autres navigateurs, obtiennent leurs informations des listes Google Safe Browsing, un ensemble de listes fréquemment mises à jour de ressources web dangereuses. (L’exception est pour les utilisateurs de Chine continentale, où Safari peut utiliser les listes de Tencent plutôt que celles de Google)

Si vous faîtes effacer votre site Web par Google, les avertissements seront également supprimés des autres navigateurs.

Comment éviter les avertissements « Deceptive site ahead » ?

Aucun site web n’est sûr à 100 %. Les pirates développent de nouvelles astuces tout le temps, et si vous êtes propriétaire d’un site web, il y a toujours une chance que vous soyez la prochaine victime.

Cela dit, la majorité des cyberattaques peuvent être évitées en suivant quelques bonnes pratiques.

Voici nos meilleurs conseils pour éviter que cette page d’avertissement rouge vif n’accueille les visiteurs de votre site.

Rester à jour

Il est essentiel que tous les logiciels de votre site web, qu’il s’agisse de votre CMS principal, de vos extensions ou de votre thème, soient à jour.

Les développeurs mettent à jour les logiciels en réponse aux nouvelles menaces de sécurité, mais votre site est toujours vulnérable si vous utilisez une ancienne version.

Les mises à jour du site WordPress en attente, telles qu'elles apparaissent dans le tableau de bord de l'administration de WordPress.
En attente des mises à jour du site WordPress.

Une étude a révélé que 49 % des sites WordPress piratés exécutaient des versions obsolètes du CMS au moment de l’infection.

Et n’oubliez pas vos extensions. Les extensions sont une excellente fonctionnalité de WordPress, mais il est facile d’en ajouter un tas et de ne plus y penser.

Chaque extension est une passerelle permettant à un pirate d’accéder à votre site. Pour être aussi sûr que possible, mettez-les toutes à jour régulièrement et évitez d’utiliser des extensions nulled.

Utiliser une extension WordPress de sécurité

Il ne manque pas d’extensions conçues pour améliorer la sécurité des sites WordPress.

Le problème est que beaucoup d’entre elles provoquent des problèmes de performance du site. C’est pourquoi nous avons interdit certaines d’entre elles sur les sites Kinsta.

Si vous êtes hébergé chez Kinsta, nos corrections gratuites de piratage et les fonctions de sécurité intégrées au tableau de bord MyKinsta signifient que vous n’avez pas besoin d’outils de sécurité tiers.

Mais pour les propriétaires de sites utilisant d’autres services d’hébergement qui voudraient utiliser une extension WordPress, nous en recommandons deux en particulier : Sucuri ou Wordfence.

Surveiller la Google Search Console

Les propriétaires de sites utilisant Google Search Console devraient recevoir des avertissements par e-mail sur les problèmes de sécurité, mais cela ne peut pas faire de mal de vérifier de temps en temps.

De plus, Search Console possède de nombreuses autres fonctionnalités qui aident à améliorer les performances de votre site et son optimisation pour les moteurs de recherche. Garder un œil sur cet outil ne peut qu’améliorer votre site web.

Limiter l’accès

Un nombre surprenant de pirates informatiques accèdent à votre site web d’une manière simple : Ils utilisent votre mot de passe.

Faîtes attention à qui possède des identifiants de connexion pour votre site. Assurez-vous que tous les membres de votre équipe suivent les meilleures pratiques, comme l’utilisation d’un gestionnaire de mots de passe, et qu’ils comprennent comment éviter les escroqueries comme les e-mails d’hameçonnage.

Choisir un hébergeur sécurisé

En tant que propriétaire de site web, vous ne pouvez pas faire grand-chose pour garantir la sécurité de votre site. Pour la sécurité au niveau du serveur, vous devez trouver un hébergeur en qui vous pouvez avoir confiance.

Voici quelques mesures que votre hébergeur peut prendre pour éviter que votre site ne reçoive ces avertissements :

Résumé

C’est alarmant de réaliser que Google a mis un avertissement sur votre site web, mais ce n’est pas difficile à réparer. Voir le message d’avertissement peut même être une alerte utile pour savoir que quelque chose ne va pas sur votre site.

La meilleure façon de garder un œil sur votre site web est de configurer Google Search Console et de le surveiller régulièrement. Occupez-vous des problèmes dès qu’ils surviennent.

Encore mieux, évitez les problèmes de sécurité en premier lieu. En suivant les meilleures pratiques de sécurité WordPress ci-dessus, vous contribuerez grandement à la sécurité de votre site et à la fluidité de votre trafic entrant.

Tout commence par une application, une base de données et un hébergeur WordPress infogéré axés sur la sécurité. Cliquez pour en savoir plus sur la façon dont Kinsta facilite la gestion de vos projets.

Salman Ravoof

Salman Ravoof is a self-taught web developer, writer, creator, and a huge admirer of Free and Open Source Software (FOSS). Besides tech, he's excited by science, philosophy, photography, arts, cats, and food. Learn more about him on his website, and connect with Salman on Twitter.