Attaque DOS, Injection SQL, Malware, Cyberattaque, Hacking, anti-intrusion, Scrapping, Pen test… Une série de termes s’est accru dans le quotidien des référenceurs SEO & SEA avec leurs sites, au lendemain des attaques de sites gouvernementaux, des vols de données ou du rançonnage de sites E-Commerce. Or, la plupart des mesures de mise en sécurité des sites peuvent affecter le crawling de Google pour le référencement naturel des pages web et campagnes payantes en SEA. 

La cybercriminalité profite de la pandémie (+400% depuis la Covid-19 d’après Alert MSSP) pour tirer profit des failles non corrigées avec la baisse de vigilance liée à la période. Or, la plupart des mesures de mise en sécurité des sites peuvent affecter le crawling de Google pour le référencement naturel de vos sites et vos campagnes payantes en SEA. Voici quelques points d’attention aux mesures que vous envisagez de prendre pour éviter de classer les moteurs de recherche comme des cyberattaquants !

La sécurisation d’un site ne passe pas seulement par l’achat d’un certificat SSL pour obtenir un protocole https. Ce Protocole sécurisé est d’ailleurs inutile contre toutes les attaques que nous allons évoquer dans cet article.

Nombreuses sont les conséquences lors d’une attaque ou d’une tentative : le site devient inaccessible dans le cas d’une attaque DDoS ou présente un risque pour vos utilisateurs si nous parlons d’une injection SQL. Dans le premier cas, le site subit une surcharge de requêtes qui provoque soit une extrême lenteur, soit une accessibilité complète. Bref, une situation très souvent stressante pour les responsables, les obligeant à prendre des mesures radicales pour éviter au plus vite une nouvelle fermeture temporaire. Le manque à gagner à la suite de ce type d’attaque n’est pas seulement financier, cela impacte aussi l’image de la société.

Sécuriser son site pour éviter de tuer le SEO de son site

Google, dans son objectif quotidien de présenter la meilleure des réponses à chaque recherche des internautes, tient compte aussi de la sécurité des sites. Son objectif est évidemment de ne pas faire prendre de risque à ses utilisateurs et donc, de présenter des sites 100% sûrs ! D’ailleurs, Google, dans le cas où vous avez ouvert une search console, peut vous prévenir à minima d’une hausse d’erreur inhabituelle à l’infection de votre site par un logiciel malveillant. Dans le cas d’une contamination, Google aura identifié votre site comme étant infecté d’un malware et votre classement dégringolera pour ne plus être mise en avant aux internautes !

Pour finir sur l’aide que vous apporte Google, dans la lutte contre la cybersécurité, la première mesure souvent citée concerne la mise à jour de votre CMS. Google peut vous envoyer une notification lorsque votre CMS est une ancienne version avec des failles connues.

Tout bloquer à tout prix !

Le service de sécurité informatique d’une entreprise cherchera, pour éviter les attaques, à réduire à peau de chagrin les espaces d’intrusions. Elle se prémunit, en mesure préventive, de limiter les accès des sites aux origines douteuses, aux fréquences de passage intense ou étonnement automatisés. Son objectif est de concentrer les passages à une seule voie extrêmement surveillée pour limiter au maximum les risques.

Malheureusement, les actions entreprises peuvent clairement devenir un frein voire un blocage pour le passage des moteurs de recherche qui restent des outils automatisés (crawleur) avec une empreinte comparable aux logiciels malveillants.

Quelles mesures SEO friendly pour se protéger des cyberattaques ?

Aujourd’hui, la majorité des sites ont acheté leur certificat sécurisé pour obtenir un protocole en https. L’une des principales motivations était d’améliorer leur référencement (ce qui reste à prouver). Le principe d’avoir un certificat SSL permet de crypter les données qui transitent vers votre site. Sans ce certificat, vous risquez de compromettre la sécurité de vos visiteurs dans les étapes de paiement par exemple.

Non, Google ne fait pas d’attaque DooS

Les attaques DooS (déni de service distribué) consiste à saturer un site d’appel vers votre site pour afficher 1 ou des pages par de multiple requêtes. En général, les serveurs ne supportent pas ce type d’interrogation en masse et dans le cas où ils ne sont pas équipés de protection, ralentissent et plantent. Le site devient alors inaccessible sur une courte durée et retombe si l’attaque continue.

Google est régulièrement incriminé comme étant la cause de ralentissement d’un site voire d’indisponibilité de ce dernier. Avant d’affirmer cela, il faut être sûr que la Mountain View soit derrière le user agent Googlebot. Si Google est réellement le moteur qui fait tousser votre serveur, alors vous devez vous poser des questions sur votre infrastructure : est-elle réellement bien dimensionnée ?

Plusieurs services comme Akamai ou Cloudflare proposent des solutions de blocage des attaques DooS, permettant d’identifier les sources de ces attaques par différentes couches. Cela passe à la fois par l’identification du user agent avec un blocage sur tous les identifiants contenant *bot*.

La mesure de détection peut aussi se faire sur la fréquence des interrogations. Aucun humain ne viendrait appeler les pages d’un site avec une fréquence régulière de 5 pages par seconde par exemple.

Enfin, certains systèmes détectent aussi en amont l’IP de l’entité qui demande accès à la page et peut être bloquée si elle est jugée comme source d’attaque régulière.

Or, Google, crawle depuis une IP américaine, avec un user agent GoogleBOT et avec une fréquence assez automatisée pouvant laisser croire à un botnet malveillant.

Comment éviter que Google ne soit bloqué ?

Quand une entreprise subit une attaque, le service sécurité de l’entreprise a souvent carte blanche pour que cela ne se reproduise plus. Généralement, les mesures sont tellement restrictives que les moteurs de recherche sont souvent pris dans les mailles du filet avec comme conséquence un déréférencement de votre site. Or, même s’il semble évident que bloquer les moteurs de recherche est une hérésie pour le SEO d’un site, il n’est pas toujours simple de faire entendre qu’une whitelist pour eux doit exister.

Tout d’abord, si on veut autoriser Google à passer outre les mesures de sécurité, il ne suffit pas seulement d’autoriser les user agent utilisant Googlebot pour ouvrir la voie à son crawleur. Il est, en effet, assez simple d’utiliser ce user agent pour lancer des crawls sur des sites et se faire passer pour ce dernier.

La solution de résolution DNS pour détecter Google

Google ne communique plus de plage d’IP pour détecter si ce sont bien les serveurs de San Francisco qui sont en action. En effet, Google peut crawler ou tester des sites depuis des IPs partout dans le monde pour vérifier, par exemple, que le site reste identique. Google propose une solution à mettre en place pour vérifier que le crawleur Googlebot est bien celui de Google : la résolution DNS.

Lorsqu’une personne/entité visite trop votre site, vous obtiendrez ainsi dans vos logs, son adresse IP ! En effectuant une résolution DNS sur cette IP, vous pourrez ainsi obtenir le domaine qui se trouve derrière : dans le cas d’une IP Google, vous obtiendrez google.com ou Googlebot.com.

Pour éviter la latence du site, la solution est de tester les IPs de requête trop fréquente avec un user agent Googlebot pour trier les hits légitimes de ceux qui ne le sont pas. Ne le faites pas systématiquement pour éviter de charger vos serveurs et risquer d’être à l’origine de lenteur voir de panne de vos infrastructures.