自分のサイトをGoogleで検索したら、身に覚えのないスパムページや海外語のURLが大量に表示されていた——そんな経験はありませんか?
これは「検索結果汚染」と呼ばれるハッキング被害のひとつです。
放置すると検索順位が急落し、Googleに「危険なサイト」と判定されてアクセスが激減する深刻な事態になります。
でも安心してください。サーチコンソールを使えば、被害の全容を把握してGoogleに削除依頼を出すことができます。
この記事の手順どおりに進めれば、初心者の方でも対処できます。
よこやま良平WordPressの復旧を多数手がけてきたよこやま良平です。わたしの現場経験をもとに、検索結果汚染の確認から削除依頼・再発防止まで、ステップごとにわかりやすく解説します。
- 検索結果汚染が起きる仕組みと放置した場合のリスク
- サーチコンソールで汚染URLを特定する手順
- GoogleにインデックスからURLを削除依頼する方法
- WordPress本体のハッキング・改ざんを修正する手順
- 再発防止のためにやるべきセキュリティ対策
検索結果汚染は、発見が早いほど被害を最小限に抑えられます。
まずは現状の確認から始めましょう。
こんなお悩みはありませんか?
- ある朝、サイトを開いたら真っ白画面になっていた
- 管理画面にログインできなくなって手が止まった
- 身に覚えのない記事やページが勝手に増えていた
- プラグインを更新したらサイト全体が崩れてしまった
- 以前バックアップを取ったか自分でも覚えていない
累計1,000件以上のWordPressトラブル対応の経験から、「壊れる前に備える」ためのチェックリストを1冊にまとめました。
ログイン・本体・バックアップ・サーバー・運用の5分野を、50項目で「危険度・確認方法・対処法」まで解説しています。
セキュリティプラグイン・WordPressの教科書も含めた3大特典を、
今なら無料で受け取れます。
検索結果汚染とは何か・放置するとどうなるか
検索結果汚染とは、自分のサイトのドメインを使って、ハッカーが作ったスパムページがGoogleの検索結果に表示される状態です。あなたのサイトが踏み台にされている、と考えると理解しやすいでしょう。
検索結果汚染が起きる仕組み
攻撃者はWordPressの脆弱性を突いてサイトに侵入し、スパムコンテンツを持つ大量のページを自動生成します。
生成されたページはあなたのドメイン配下(例:example.com/薬品名/、example.com/casino/)に作られるため、
Googleはあなたのサイトのコンテンツとして認識してインデックスしてしまいます。
- 医薬品・サプリメントの販売ページ(日本語・英語・中国語)
- オンラインカジノ・ギャンブル系ページ
- ブランド品の偽物販売ページ
- フィッシング・詐欺サイトへのリダイレクトページ
放置した場合の深刻なリスク
検索結果汚染を放置すると、サイトに取り返しのつかないダメージが蓄積されます。
わたしが現場で見てきた被害の実態を正直にお伝えします。
- 検索順位の急落:スパムコンテンツを大量に持つサイトとしてGoogleに評価され、本来のページも順位が下がる
- 「危険なサイト」警告の表示:Googleがサイトをマルウェア配布元と判定し、アクセス時に赤い警告画面が表示される
- サイト丸ごとのインデックス削除:スパム認定が進むとドメイン全体がGoogle検索から消える
- ブランドへの信頼失墜:顧客やビジネスパートナーがサイト名で検索した時にスパムページが表示される
早期発見・早期対処が鉄則です。
次のセクションでは、サーチコンソールを使った被害確認の手順を解説します。
サーチコンソールで検索結果汚染を確認する手順
検索結果汚染の調査はGoogleサーチコンソールを使うのが正解です。
無料で使えるうえ、Googleが実際にインデックスしているURLを全件確認できるため、被害の全容を最も正確に把握できます。
まず「site:ドメイン名」でGoogle検索して規模を確認する
サーチコンソールを開く前に、
まずGoogleの検索バーで被害の規模を素早く確認しましょう。
Googleの検索窓に以下のように入力して検索します。
site:あなたのドメイン.com表示されたページ一覧に、身に覚えのないURLが含まれていれば汚染が確定です。
スパムURLが何百件・何千件と表示される場合は被害が深刻な状態です。
サーチコンソールの「ページ」レポートで汚染URLを一覧確認する
サーチコンソールにログインし、左メニューから「インデックス作成」→「ページ」を開きます。
- サーチコンソール(search.google.com/search-console)にログイン
- 左メニュー「インデックス作成」→「ページ」を選択
- 「インデックス登録済み」タブをクリック
- 表示されたURLの一覧をスクロールして、不審なパスが含まれていないか確認する
- 右上の「エクスポート」ボタンでCSVダウンロードすると全件確認しやすい
スパムURLが一覧に表示されていれば、次のステップでインデックス削除を依頼します。
「URL検査」ツールで個別URLの状態を確認する
サーチコンソール上部の検索バー(URL検査)に不審なURLを貼り付けると、
そのページがGoogleにインデックスされているかどうかを個別に確認できます。
「URLはGoogleに登録されています」と表示されたURLが削除対象です。
「ライブテストを実施」ボタンを押すと現在のページの状態もリアルタイムで確認できます。
汚染URLをGoogleのインデックスから削除する方法
汚染URLの削除依頼は、サーチコンソールの「削除」ツールを使います。一時的な非表示と恒久的な削除の2段階で対処するのが正解です。
ステップ1:「一時的に削除」で検索結果から即時非表示にする
まず緊急処置として、スパムURLを検索結果から一時的に非表示にします。この処理は申請後数時間以内に反映されます。
- サーチコンソール左メニュー「インデックス作成」→「削除」を選択
- 「新しいリクエスト」ボタンをクリック
- 削除したいURLを入力し「次へ」
- 「一時的にURLを削除する」を選択して「送信」
一時削除はあくまで「検索結果からの一時非表示」です。期限が切れると再びインデックスされる可能性があります。根本解決のためにはWordPress本体の改ざんを修正したうえで、恒久的な削除処理も行う必要があります。
ステップ2:ページを完全に削除してGoogleに再クロールを依頼する
WordPress本体からスパムページを削除したあと、
Googleに「このURLはもう存在しない」と認識させる必要があります。
スパムページを実際にサーバーから削除し、
ブラウザでアクセスしたときに404(Not Found)または410(Gone)が返る状態にしてから、
サーチコンソールの「URL検査」→「インデックス登録をリクエスト」を実行します。
Googleがクロールして404を確認すると、インデックスから自動的に削除されます。
大量のURLがある場合は、サイトマップを送信し直すことでクロール促進効果があります。
プレフィックス指定で大量URLをまとめて削除申請する
スパムURLが example.com/casino/ 配下に何百件もある場合、
1件ずつ削除申請するのは非現実的です。
そのような場合は「プレフィックスを含むすべてのURLを削除」機能を使います。
- サーチコンソール「削除」→「新しいリクエスト」を開く
- スパムディレクトリのURL(例:
https://example.com/casino/)を入力 - 「このプレフィックスを含むすべてのURLを削除する」を選択
- 「送信」をクリック
これで該当ディレクトリ配下の全URLが一括で一時非表示になります。
WordPressサイト本体のハッキング・改ざんを修正する手順
サーチコンソールでのインデックス削除はあくまで「症状の緩和」です。
根本原因であるWordPress本体の改ざんを修正しなければ、スパムページは再生成されます。
Wordfenceでマルウェアスキャンを実施する
まずサイトにどんな不正ファイルが仕込まれているかを把握します。
スキャン機能を持つプラグインとして、Wordfenceが無料で使えて信頼性が高くおすすめです。
- WordPress管理画面からWordfenceプラグインをインストール・有効化
- 左メニュー「Wordfence」→「スキャン」をクリック
- 「スキャン開始」ボタンをクリックしてスキャンを実行
- 結果レポートで「Critical」「High」と表示されたファイルを確認する
- 不審なファイルは「削除」または「修復」を実行する
【※画像挿入※ Wordfenceのスキャン結果画面】
スパムページを生成しているファイルをFTPで削除する
Wordfenceで発見した不正ファイルのほか、FTPクライアント(FileZillaなど)でサーバーに
直接アクセスして不審なファイル・ディレクトリを削除します。
確認すべき代表的な場所は以下のとおりです。
wp-content/uploads/(画像フォルダ内のPHPファイル)wp-content/themes/テーマ名/(テーマファイルへのコード埋め込み)wp-content/plugins/(偽プラグインや改ざんされたプラグイン).htaccess(リダイレクト処理を追加されることが多い)
WordPressとプラグインを最新版に更新してセキュリティホールを塞ぐ
不正ファイルを削除したあと、攻撃者が侵入に使った脆弱性を塞ぐ作業が必要です。
WordPress本体・テーマ・プラグインをすべて最新版にアップデートします。
管理画面「ダッシュボード」→「更新」から一括アップデートが可能です。
アップデート前には必ずバックアップを取っておきましょう。
検索結果汚染の再発防止策
せっかく復旧しても、セキュリティ対策が甘いと同じ被害が繰り返されます。現場経験から、再発防止に最も効果的な対策をまとめました。
クイックレスキュー365で不正ログイン・XMLRPC攻撃をブロックする
検索結果汚染の多くは、不正ログインやXMLRPCを悪用した遠隔操作から始まります。
これらを根本からブロックするには、専用のセキュリティプラグインの導入が最も効果的です。
わたしが開発した無料プラグイン「クイックレスキュー365」は、
不正ログインブロック・XMLRPC遮断・ログインURL変更など8つのセキュリティ機能をワンクリックで設定できます。
- 不正ログインブロック(辞書攻撃を遮断)
- ログインURL変更(攻撃者にログインページを特定させない)
- XMLRPC遮断(遠隔操作による攻撃をシャットアウト)
- UploadsフォルダPHP動作禁止(画像フォルダからマルウェアを実行させない)
- ユーザー名漏えい防御・IPアドレス拒否など全8機能
定期バックアップを設定して有事に備える
万一再び感染した場合に備え、定期的なバックアップは必須です。
BackWPupやUpdraftPlusなどのプラグインを使い、週1回以上の自動バックアップを設定しましょう。
バックアップデータはサーバー上だけでなく、Google DriveやDropboxなどのクラウドストレージに保存することを強くおすすめします。
サーバーごと汚染された場合でもデータが守られます。
サーチコンソールのメール通知を必ず有効にする
Googleはハッキングを検知したとき、サーチコンソールに登録しているメールアドレスに通知を送ります。この通知機能が有効になっていれば、被害を早期に発見できます。
サーチコンソールの「設定」→「ユーザーと権限」で登録メールアドレスを確認し、通知設定が有効になっているかチェックしてください。
検索結果汚染 サーチコンソール対処法まとめ
検索結果汚染はWordPressへの不正侵入が原因で発生します。サーチコンソールで被害を確認し、インデックス削除依頼とWordPress本体の修正を同時に進めることが解決の近道です。
- 「site:ドメイン名」検索とサーチコンソールで被害の全容を確認する
- サーチコンソールの削除ツールでスパムURLを一時非表示にする
- Wordfenceでスキャン→不正ファイル削除→WordPress・プラグインをアップデート
- クイックレスキュー365を導入して再発防止の体制を整える
自分での対処が難しい場合や、作業中に被害が広がっている場合は、無理をせず専門家に依頼することが最善です。
ホームページの乗っ取りが自分で解決できない時は
ホームページの乗っ取り・マルウェア感染・不正アクセスでお困りなら、
クイックレスキューが解決します。
- ホームページが乗っ取られた・改ざんされた
- 管理画面にログインできなくなった
- 変なサイトにリダイレクトされている
- Googleに危険なサイトと表示されている
- 自分で復旧しようとしたが直らない
- WordPressを復旧・修正したい
- 万一復旧できない場合やマルウェア駆除できない場合は全額返金保証で安心
- 90日間再感染保証・動作保証で安心
- 初期費用・調査費用0円で安心
