On ne le répétera jamais assez, si vous utilisez un CMS ou un script de forum, de boutique en ligne ou de je ne sais quoi encore, faites des mises à jour de votre code dès qu’une nouvelle version sort. Si vous ne le faites pas, cela peut avoir un impact sur votre référencement. Mais parfois, en voulant trop bien faire, on ouvre parfois les portes aux spammeurs avides de liens.. Petit tour d’horizon de ce que j’ai retenu de ma semaine sur ce thème de la sécurité des sites web.

Pourquoi faire des mises à jour de ses scripts ?

Un script non mis à jour peut comporter des failles de sécurité importantes. Et cela peut parfois aller très loin. En effet certaines failles peuvent permettre aux spammeurs de prendre le contrôle de certains éléments ou pages de votre site et d’y poser des liens peu flatteurs pour votre image, comme par exemple ces pubs envahissantes pour les petites pilules bleues miraculeuses…

Quand nous avions rencontré Matt Cutts à Paris, il nous avait dit que chaque jour un nombre incroyable de blogs sous WordPress se faisaient hacker car ils n’étaient pas à jour. Je ne me souviens plus du chiffre (et s’il nous en avait donné un) mais j’avais bien retenu ce point. D’ailleurs les black hat Seo le savent bien, poser un commentaire sur un blog WordPress non modéré et abandonné c’est facile. Prendre le contrôle d’un blog non mis à jour ce n’est pas si difficile. Dans les cas extrêmes de hack, vous risquez même de voir vos fichiers purement et simplement supprimés et perdre par la suite, tout votre référencement. Bref, il ne faut pas plaisanter avec la sécurité.

Spip et la mise à jour 2.1.8

Spip

Spip est certainement mon CMS préféré avec Thelia. La raison est simple : pas besoin d’être une chevronnée de la programmation pour utiliser ces 2 scripts. Ils fonctionnent avec des « boucles » et outre la simplicité de prise en main, la souplesse offerte est très agréable. Dernier point et pas des moindres, l’optimisation pour le référencement est ultra facile et malléable selon ses besoins.

Il y a 2 jours j’ai vu passer une alerte de mise à jour pour Spip. Cette mise à jour corrige une faille critique très importante et qui touche tous les sites sous Spip, quels que soient leurs réglages. Donc si vous avez des sites sous Spip, passez vite en 2.1.8, moi c’est fait 🙂

Combien de sites sous Spip ne vont pas être mis à jour et vont ainsi être vulnérables aux attaques? Il est dit sur le site officiel que cette faille peut permettre la destruction du site et de sa base de données, ce qui peut entraîner une perte de référencement irréversible. Alors si vous avez un site sous Spip bien positionné, vous risquez gros, de là à parler Negative SEO, il n’y a qu’un pas…

phpBB et le captcha d’inscription

Source : GeekandPoke

J’ai depuis très longtemps un gros forum dédié aux parents d’enfant précoce. Il tourne sous le script phpBB. J’ai récemment eu une grosse vague de spam, difficile à endiguer et si du côté phpBB je suis à jour, c’est bien du côté de la mise à jour de Xrumer qu’il a suffit de se pencher pour comprendre la cause du problème (enfin, vu de mon côté).

En effet, la hausse de spam sur mon forum coïncide avec la nouvelle version de Xrumer. Pas besoin d’être devin pour comprendre que le spam vient de ce logiciel ultra puissant, capable de passer les captchas les plus difficiles. Du coup il n’est pas utile de se pencher sur les mods de protection anti-spam par captcha pour se débarrasser des spammeurs chimiques. La solution est finalement plus simple : imposer un champ totalement nouveau lors du processus d’inscription, où il faut que l’internaute entre un certain nombre de caractères alphanumériques par exemple.

Bonne nouvelle avec phpBB c’est hyper simple à mettre en place. Dans l’administration, on va dans l’onglet « Utilisateurs et groupes« , « Champs de profil personnalisés » et on crée un nouveau champ, non affiché dans le profil mais obligatoire à l’enregistrement. Les robots ne savent pas recopier un mot ou une réponse simple. Depuis la mise en place de ce système, je n’ai plus de spam sur mon forum (jusqu’à la prochaine fois on va dire).

Cette fois la mise à jour de mon script n’est pas en cause, c’est la mise à jour d’un logiciel de spam qui l’est :D. Mais quelles peuvent être les conséquences pour mon forum de laisser ces spams sur mon forum et ces faux membres possédant un lien spammy dans leur profil? On peut tout simplement perdre des places dans Google, subir une baisse de PR et / ou se prendre une pénalité, pour excès de liens sortants vers des sites douteux par exemple… sans parler de la fuite de vos visiteurs excédés par ces messages  bidons postés sur le forum. Donc faites gaffe, même si cela ne consiste qu’en des inscriptions de nouveaux membres avec signature et liens de profils..

WordPress et ses thèmes gratuits

You have been hacked !

Parfois le mieux est l’ennemi du bien. J’avoue avoir du mal à comprendre ceux ou celles qui changent leur thème WordPress comme de chemise. A chaque fois je me dis que l’impact SEO peut être important et négatif et que c’est un risque à chaque changement. Au final, changer de thème gratuit peut finalement être un risque, mais pas pour les raisons auxquelles j’avais pensé au début.

Dans ce post, Siobhan Ambrose a testé les 10 premiers sites présents sur la requête « free wordpress themes » en téléchargeant aléatoirement des thèmes et en le testant avec le plugin Theme Authenticity Checker. Sur les 10 thèmes testés, 8 contenaient du code encodé en base64, qui très souvent contenait des liens cachés ou du code suspicieux, pouvant par exemple télécharger des codes sur un serveur distant. Bref, pour un spammeur, releaser un thème wordpress en y collant du code en base64 qui lui permet de poser des liens pas très propres, c’est finalement pas si difficile. Je vous recommande ainsi la plus grande prudence avec tous les thèmes wordpress gratuits trouvés sur le net 😉

J’ai testé mes templates et ouf!, aucun ne possède de code en base 64 qui pourrait me faire faire des liens vers Google ou Wikipedia, l’honneur est sauf 😀

En conclusion

Prudence est le maître mot. Je ne saurai trop recommander que de faire appel à ses spécialistes pour s’assurer que son site est bien sécurisé (comme par exemple Securi Toile). C’est d’autant plus vrai que cela n’arrive pas qu’aux autres.

ps : J’ai commencé à rédiger ce post samedi, dans le but de le programmer pour dimanche. Mais en raison d’une panne électrique samedi soir et d’un dimanche passé sur l’eau, je n’ai pas pu le terminer. Et cela m’aura permis de vérifier que l’impact de la sécurité est sensible en terme de référencement car un de mes clients a subi une injection SQL ce WE et nous n’avons eu comme seule possibilité pour faire disparaitre quelques résultats dans Google, de demander la suppression d’une page de l’index.. ce que nous n’aurions jamais fait en temps normal ! Et étant donné que c’était une page produit bien positionnée, je suppose qu’il y aura quelques petites conséquences…