Conseils aux Webmasters - Faux comptes d'utilisateurs et profils spammés

Vous êtes webmaster ou développeur et vous avez fait tout ce qu'il faut pour empêcher votre site d'être piraté. Vous avez protégé vos forums et vos commentaires pour qu'ils ne contiennent pas de spam. Si vous avez un site de réseau social ou proposant une communauté, vos utilisateurs vont créer des profils, devenir membres de votre forum ou joindre vos groupes. Mais il arrive que d'autres utilisateurs créent des comptes et remplissent leurs profils de contenu sans aucun sens, avec des liens ou redirections suspectes. Bienvenue dans le monde des profils spammés. Le web social se développe très vite et les spammeurs utilisent tout le contenu web disponible pour obtenir plus de trafic.

Pourquoi c'est important?

Vous ne souhaitez sans doute pas que vos utilisateurs arrivent sur votre site et tombent sur des images inappropriées ou soient victimes d'arnaque. Et surtout, vous ne voulez pas que cela les affecte à un tel point qu'ils ne reviennent plus sur votre site. Si votre site contient malgré vous beaucoup de contenu suspect et fait des liens vers des sites compromis, les moteurs de recherche risquent de ne plus accorder la même confiance à votre site.

Quel est l'intérêt de spammer des profils?

Les spammeurs créent de faux profils pour des raisons assez nuisibles. Parfois, c'est une manière d'atteindre les utilisateurs d'un site de réseau social. Cela ressemble à du spam par email - le but est d'envoyer des messages ou des invitations et de convaincre les utilisateurs de cliquer sur un lien, acheter un produit, ou télécharger un logiciel malveillant. Les spammeurs utilisent aussi les profils pour créer du webspam sur des sites de bonne qualité. Ils cherchent des opportunités sur le web pour placer leurs liens, redirections, et malware. Ils utilisent votre site car cela ne leur coûte rien et ils profitent de sa réputation. Le dernier cas est de plus en plus fréquent. Certains faux profils sont faciles à détecter car ils utilisent par exemple des noms de médicaments comme noms de profils. Mais nous avons remarqué des techniques plus sophistiquées qui utilisent de vrais noms et des informations crédibles pour ajouter leurs liens suspects. Ils créent aussi des liens sur des sites piratés, les commentaires ou les profils spammés pour être sûrs de ressortir dans les résultats de recherche. Cela se traduit par du contenu suspect sur votre site, avec des liens provenant de sites de spam, et des utilisateurs mécontents.

Quels sites sont à risque?

Vous pensez peut-être "mon site n'est pas un réseau social très important, cela ne me concerne pas". Malheureusement, nous voyons des profils spammés sur tous les sites, des plus grands réseaux sociaux jusqu'aux plus petits forums. De nombreux forums et de systèmes de gestion de contenu ou CMS tels que vBulletin, phpBB, Moodle, Joomla, etc. génèrent des pages de membres pour chaque utilisateur qui crée un compte. En général, les CMS sont très utiles car ils vous permettent d'ajouter facilement du contenu et des fonctionnalités interactives, mais les pages auto-générées peuvent être détournées si vous ne vous en rendez pas compte.

Que pouvez-vous faire?

Il n'y a pas de solution facile à ce problème. Les spammeurs attaquent une grande variété de sites et adaptent leurs scripts pour contourner les mesures qui sont prises contre eux. Google est constamment attaqué par des spammeurs qui essaient de créer des faux comptes et des profils spammés sur nos sites. Et malgré tous nos efforts, certains réussissent à passer. Voici ce que vous pouvez faire pour leur rendre la vie plus difficile et protéger votre site:

• Utilisez des fonctionnalités de sécurité standard, entre autre les CAPTCHAs, pour empêcher les spammeurs de créer des comptes en masse. Surveillez tout comportement suspect - des milliers de nouveaux comptes utilisateurs créés sur une même adresse IP, de nouveaux utilisateurs envoyant des milliers de requêtes amis, etc. Il n'y a pas de simple solution à ce problème, mais souvent des vérifications de base vous permettront d'attraper le plus gros du spam.

• Utilisez une liste noire pour empêcher des attaques de spam répétées. Nous voyons souvent de grands nombres de faux profils sur un même site innocent, faisant tous des liens vers un même domaine. Si vous en trouvez un, essayez de trouvez un moyen plus simple pour tous les enlever.
  
  
• Attention aux failles de sécurité de XSS ou cross site scripting, ou tout autre faille qui permet aux spammeurs d'injecter du code suspect sur leurs pages de profils. Certaines techniques utilisent JavaScript pour rediriger les utilisateurs vers d'autres sites, des iframes qui utilisent le malware, et du code CSS customisé pour couvrir le contenu de votre page avec du spam.

• Envisagez de mettre les liens des pages de profils en nofollow. Cela rend votre site moins attrayant pur ceux qui essaient de faire passer du PageRank de votre site vers leur site de spam. Les spammeurs cherchent la solution de facilité, et en mettant les nouveaux profils en nofollow, cela leur rend la tâche plus difficile. Vous pouvez aussi enlever manuellement ou automatiquement le nofollow pour les liens créés par des membres de confiance, ceux qui par exemple apportent une contribution régulière.
  
  
• Envisagez de mettre les pages de profils en noindex pour les nouveaux utilisateurs ou ceux en qui vous n'avez pas encore confiance. Vous pouvez aussi rendre les pages de profils initiales complètement privées, surtout si la plupart du contenu se trouve dans des blogs, des forums ou d'autres types de pages.

• Ajoutez une fonctionnalité pour reporter le spam dans les profils d'utilisateurs et les invitations d'amis. Laissez vos utilisateurs vous aider à régler le problème. Ils tiennent à votre communauté et le spam est une mauvaise expérience pour eux.

• Surveillez votre site pour les pages spammées. L'un des outils que vous pouvez utiliser est Google Alerts. Entrez une requête site: avec des mots-clés comportant du contenu commercial ou adulte que vous ne pensez pas trouver sur votre site. cet outil vous aide aussi à détecter les pages hackées. vous pouvez aussi vérifier les mots-clés suspects dans les Outils pour les webmasters.

• Surveillez les hausses de trafic pour des requêtes suspectes. Il est toujours intéressant de voir le nombre d'impression de pages augmenter, mais prenez garde aux requêtes commerciales ou adultes qui n'ont rien à voir avec le contenu de votre site. Dans les cas où un spammeur a utilisé votre site, cette hausse de trafic ne sera pas bénéfique à votre site et pour vos utilisateurs, votre site sera "l'endroit qui les aura redirigés vers un virus".

Posté par Jason Morrison - Qualité de recherche