検索結果がスパムに乗っ取られたWordPress不正ページ生成の実例と対策
「気づいたら、自分のWordPressサイトがGoogleに見覚えのないスパムページとして何百件もインデックスされていた――」これは近年多発している、検索結果を乗っ取るタイプのハッキング被害の典型例です。WordPressの脆弱性を突かれ、サイト内に大量の不正ページが生成されるこの手口は、検索ユーザーを騙すだけでなく、自サイトの評価低下や信頼損失にもつながります。本記事では、実際に当サイトで発生した被害事例をもとに、どのように気づき、何を行い、どう防ぐべきかを具体的に解説します。
被害の概要
大量スパムページによる検索エンジン乗っ取り
| 発生日 | 202X年〇月上旬 |
| CMS | WordPress(バージョンは最新ではなかった) |
| 被害内容 | 投稿や固定ページとは無関係に、URL構造が一見正規のページに見える形で、不正なスパムページが約30,000件以上生成され、Googleにインデックス登録される被害が発生。これらのページは、英語を含む多言語によるスパム広告(アフィリエイト系、フィッシング系など)を表示し、検索ユーザーを偽サイトに誘導する内容。Google検索で「site:ドメイン名」と入力することで、正規のページと混在した不審なURL群が大量にヒットする状況が確認された。 |
攻撃の手口と侵入経路
典型的な攻撃パターン
- サーバー上に 隠しディレクトリ(例:
/wp-includes/xxxxx/) を作成 .htaccessを書き換えて、該当URLへのアクセスを正規ページのように偽装- サイトの「404 Not Found」や「robots.txt」を悪用して検索エンジンに偽のページを登録
- WordPressの脆弱なプラグインやテーマが侵入口になっていたと考えられる
復旧のために行った対応
- Google Search Consoleでインデックス状況を確認
→ 「URLの削除」機能で不正URLを申請 - 不審なディレクトリ・ファイルの洗い出しと削除
→ FTPやSSHで/wp-content/・/wp-includes/を中心に調査 - .htaccessの確認・修正
→ 不正なリダイレクトやRewriteRuleを削除 - 全ファイルとDBのバックアップからクリーン復元
→ 信頼できる時点のバックアップへ復旧 - WordPress・テーマ・プラグインのすべてを最新に更新
- WAF(Web Application Firewall)の導入・設定見直し
→ サーバー側・プラグイン(例:SiteGuard)ともに強化
再発防止策
- プラグイン・テーマは不要なものを削除&信頼性のあるものだけ使用
- WordPressの自動更新はON、または週1回手動更新のルール化
- 定期的に
site:ドメイン名で検索インデックスの異常をチェック - WAFのログを確認し、国外からの不審アクセスを遮断
- 定期的にバックアップを取得し、リストアテストも実施
まとめ
今回のような改ざん被害は、放置すればするほど被害が拡大し、SEOや信頼性に大きなダメージを与えます。とくにGoogleに不正ページがインデックスされると、検索順位の大幅下落やペナルティの対象となることも。
WordPressサイトの運営者は、「セキュリティ=一度守れば終わりではない」という意識を持つことが重要です。
免責事項
設定変更・作業・インストール方法などの紹介記事はあくまで参考情報です。読者が記事をもとに実行したことによるいかなる損害・不具合についてもウィドックでは一切責任を負いません。すべて自己責任で行ってください。
