{"id":118,"date":"2026-01-13T00:00:00","date_gmt":"2026-01-12T23:00:00","guid":{"rendered":"https:\/\/helloblog.io\/fr\/cloaking-wordpress-malware-googlebot-ip-verifiee\/"},"modified":"2026-01-20T06:32:40","modified_gmt":"2026-01-20T05:32:40","slug":"cloaking-wordpress-malware-googlebot-ip-verifiee","status":"publish","type":"post","link":"https:\/\/helloblog.io\/fr\/cloaking-wordpress-malware-googlebot-ip-verifiee\/","title":{"rendered":"Cloaking WordPress nouvelle g\u00e9n\u00e9ration : quand un malware ne montre son vrai visage qu\u2019\u00e0 Googlebot (IP v\u00e9rifi\u00e9e)"},"content":{"rendered":"\n

On a tous d\u00e9j\u00e0 crois\u00e9 du cloaking SEO (contenu diff\u00e9rent selon l\u2019audience) sur WordPress : du spam visible dans Google, mais invisible quand on visite le site \u00ab normalement \u00bb. Ce qui change dans les campagnes r\u00e9centes, c\u2019est le niveau de pr\u00e9cision. L\u00e0 o\u00f9 beaucoup d\u2019attaquants se contentent d\u2019un filtre sur le User-Agent<\/em>, certains scripts vont jusqu\u2019\u00e0 v\u00e9rifier que le visiteur est bien Googlebot\u2026 en validant son adresse IP contre des plages officielles de Google.<\/p>\n\n\n\n

Dans un cas analys\u00e9 par Sucuri, l\u2019infection se trouvait directement dans index.php<\/code> \u00e0 la racine WordPress. Le fichier jouait le r\u00f4le de gatekeeper<\/em> : selon l\u2019identit\u00e9 du visiteur, il chargeait WordPress de fa\u00e7on normale ou injectait un contenu distant destin\u00e9 aux robots d\u2019indexation.<\/p>\n\n\n\n

Le sc\u00e9nario : WordPress \u00ab propre \u00bb pour toi, contenu inject\u00e9 pour Google<\/h2>\n\n\n\n

Le principe est simple sur le papier : masquer l\u2019infection \u00e0 l\u2019admin du site et aux visiteurs humains, tout en exposant un contenu diff\u00e9rent aux crawlers. Dans l\u2019exemple \u00e9tudi\u00e9, Google se retrouvait \u00e0 indexer une page qui n\u2019\u00e9tait pas r\u00e9ellement servie par le site, mais r\u00e9cup\u00e9r\u00e9e \u00e0 la vol\u00e9e depuis une URL externe, puis renvoy\u00e9e comme si elle provenait du domaine compromis.<\/p>\n\n\n\n

Ce type d\u2019attaque vise principalement la r\u00e9putation SEO : pages parasites dans l\u2019index, d\u00e9gradation des r\u00e9sultats, risque de blacklist, et d\u00e9tection retard\u00e9e (puisque le propri\u00e9taire ne voit rien d\u2019anormal lors de ses visites).<\/p>\n\n\n\n

Ce qui rend ce malware int\u00e9ressant : la v\u00e9rification IP via ASN + CIDR<\/h2>\n\n\n\n

Beaucoup de scripts de cloaking font un test fragile du type \u00ab si HTTP_USER_AGENT<\/code> contient Googlebot \u00bb. Probl\u00e8me : un User-Agent se falsifie en une seconde. Dans le cas pr\u00e9sent\u00e9, l\u2019attaquant a ajout\u00e9 une seconde barri\u00e8re : une biblioth\u00e8que en dur de plages IP appartenant \u00e0 Google, associ\u00e9es \u00e0 l\u2019ASN (Autonomous System Number) de Google, au format CIDR.<\/p>\n\n\n\n

ASN (Autonomous System Number) : l\u2019\u00ab identit\u00e9 r\u00e9seau \u00bb de Google<\/h3>\n\n\n\n

Un ASN repr\u00e9sente un ensemble de blocs IP contr\u00f4l\u00e9s par une entit\u00e9 (ici Google) et utilis\u00e9s par ses services et son infrastructure. V\u00e9rifier que la requ\u00eate provient d\u2019une plage IP associ\u00e9e \u00e0 l\u2019ASN de Google permet de distinguer un vrai crawler issu de l\u2019infra Google d\u2019un bot qui imite simplement un User-Agent.<\/p>\n\n\n\n

CIDR : d\u00e9crire un bloc d\u2019IP sans tout lister<\/h3>\n\n\n\n

Le CIDR est une notation compacte pour repr\u00e9senter une plage d\u2019adresses. Exemple classique : 192.168.1.0\/24<\/code>. Le suffixe (\/24<\/code>) indique la taille du bloc et les adresses incluses. C\u2019est le format standard qu\u2019on retrouve partout : ACL r\u00e9seau, firewall, routage, allowlists, etc.<\/p>\n\n\n\n

Le d\u00e9tail qui fait mal : calculs bitwise (et support IPv6) \u0628\u062f\u0644 du simple \u00ab match \u00bb<\/h2>\n\n\n\n

Autre point marquant : la validation de plage IP ne se faisait pas via un test de cha\u00eene ou une comparaison na\u00efve, mais via des op\u00e9rations bitwise (ET binaire) sur l\u2019IP et un masque r\u00e9seau. C\u2019est une approche plus \u00ab bas niveau \u00bb : le script calcule math\u00e9matiquement si l\u2019adresse du visiteur appartient au bloc CIDR attendu.<\/p>\n\n\n\n

Sucuri note aussi la pr\u00e9sence d\u2019une prise en charge robuste d\u2019IPv6, souvent ignor\u00e9e par des scripts plus anciens. En pratique, \u00e7a r\u00e9duit encore la surface de d\u00e9tection via des tests manuels classiques.<\/p>\n\n\n\n

<\/circle><\/circle><\/circle><\/g><\/svg><\/span>