「あれ、最近サイトのアクセス数が急に減ったな…」
そう思ったあなた、もしかしたらGoogleから「危険なサイト」認定されているかもしれません。
僕も経験があります。ある朝いつものようにアクセス解析を見ていたら、前日まで順調だったアクセス数が突然ゼロになっていたんです。最初は「計測エラーかな?」と思ったんですが、自分のサイト名で検索してみて愕然としました。検索結果に「このサイトは第三者によってハッキングされている可能性があります」という警告文が表示されていたんです。
頭が真っ白になりました。でも、幸いなことに、Googleは無料で使える「セキュリティ問題の早期発見ツール」を提供してくれています。それがGoogle Search Console(サーチコンソール)です。
今回は、このサーチコンソールを使って、自分のサイトがGoogleから「危険」と判定されていないかを確認する方法と、万が一問題が見つかった場合の対処法を、僕の実体験も交えながら解説していきます。
Google Search Consoleの「セキュリティの問題」レポートって何?
まず、Google Search Console(通称:サチコ)について簡単に説明しておきますね。これは、Googleが無料で提供している、自分のサイトの検索パフォーマンスを監視・管理できるツールです。SEO対策をしている人なら、ほぼ必須のツールと言っていいでしょう。
で、このサチコの中に、「セキュリティの問題」レポートっていう機能があるんです。
これは何かというと、Googleのクローラー(サイトを巡回するロボット)があなたのサイトを訪問した時に、「おや、このサイトちょっとヤバいかも」っていう兆候を見つけたら、ここに記録してくれる機能なんですね。
どんな問題が検出されるの?
具体的には、以下のような問題が検出されます。
ハッキングされたコンテンツ
サイトが乗っ取られて、勝手にスパムページが大量に作られているケース。僕がやられたのもこのタイプでした。海外製のマイナーなプラグインに脆弱性があって、そこから侵入されて、怪しげなブランド品の販売ページが何百ページも自動生成されていたんです。
マルウェアや望ましくないソフトウェア
サイトにアクセスしただけでウイルスに感染したり、勝手に変なソフトがダウンロードされたりする危険なプログラムが仕込まれているケース。これ、本当に怖いです。自分のサイトが他人のパソコンを攻撃する踏み台になってしまうわけですから。
ソーシャルエンジニアリング(フィッシング詐欺)
偽のログインページを作って、訪問者のパスワードやクレジットカード情報を盗もうとするケース。銀行やAmazonそっくりの偽ページを作って、「パスワードを再設定してください」とか言って騙すやつですね。
「手動による対策」との違い
ここで、よく混同されがちな「手動による対策」レポートとの違いを整理しておきましょう。
「セキュリティの問題」は、ユーザーの安全に関わる緊急事態です。検索結果に警告ラベルが表示されたり、ブラウザでアクセスがブロックされたりします。つまり、訪問者を危険から守るための措置ですね。
一方、「手動による対策」は、Googleのルール違反に対するペナルティです。不自然なリンクを大量に貼ったり、質の低いコンテンツを量産したりして、検索順位を不正に操作しようとした場合に発動します。こちらは、検索順位が下がったり、インデックスから除外されたりしますが、訪問者への直接的な警告は少ないです。
例えるなら、「セキュリティの問題」は家に強盗が入っている状態。「手動による対策」は、家の前に違法な看板を立てていて市役所から怒られている状態。どっちも困りますが、緊急度は圧倒的に前者ですよね。
今すぐチェック!セキュリティ問題の確認手順
じゃあ、早速自分のサイトが健康かどうか、診断してみましょう。まだSearch Consoleに登録してない人は、今すぐ登録してください。話はそれからです。
確認の手順
- Search Consoleにログイン
GoogleアカウントでSearch Consoleにログインします。 - プロパティを選択
確認したいサイトを選びます。複数サイトを登録している人は、間違えないように。 - 「セキュリティと手動による対策」をクリック
左側のメニューにあるこの項目を開きます。 - 「セキュリティの問題」をクリック
さあ、運命の瞬間です…。
ここに「問題は検出されませんでした」と緑色のチェックマークが表示されていれば、おめでとうございます!あなたのサイトは、今のところGoogleから「健康優良児」だと認められています。
でも、もし何らかの問題が表示されていたら…落ち着いて、ここからが本番です。
見えない敵「クローキング」に要注意
ここで一つ、厄介な問題について触れておきます。それが「クローキング」です。
クローキングっていうのは、「相手によって見せるページを変える」技術なんですね。例えば、僕たち普通のユーザーがアクセスした時は、何の問題もない正常なページを表示する。でも、Googleのクローラーが来た時だけ、こっそりスパムコンテンツを見せるんです。
だから、「Search Consoleで警告が出てるのに、自分のPCでページを見ても何も問題ないぞ?」っていう場合は、このクローキングを疑うべきです。
Search Consoleの「URL検査ツール」を使って、「Googlebotとしてレンダリング」機能を使えば、Googleにだけ見せている裏の顔を暴くことができます。これ、マジで便利なので覚えておいてください。
問題発見!どうすればいい?
警告が出ているのを見つけたら、誰だってパニックになります。僕もそうでした。でも、焦りは禁物。一つひとつ、冷静に対処していけば、必ず解決できます。
ステップ1:問題の詳細を把握する
まずは、敵を知ることから。レポートに表示されている問題の項目をクリックすると、詳しい説明と、影響を受けている可能性のあるページのURLの例が表示されます。「詳細」リンクも必ず読んで、何が起きているのかを正確に把握しましょう。
僕の場合は、「URLインジェクション」っていう、サイト内に覚えのないスパムページが大量に作られるタイプのハッキングでした。URLの例を見て、本気で冷や汗が出ましたよ。
ステップ2:サイトから脅威を完全に除去する
原因が分かったら、次は駆除作業です。これは、問題の種類によって対処法が全く違います。
ハッキングの場合の対処法
- サイトをバックアップから復元する(一番手っ取り早いけど、ハッキングされた原因を潰さないと再発します)
- 覚えのないファイルやコードを特定して削除する
- WordPressのコアファイル、テーマ、プラグインを再インストールする
- すべてのパスワードを変更する
- 脆弱性があったプラグインを特定し、アップデートまたは削除する
マルウェアの場合の対処法
- セキュリティプラグイン(Wordfenceなど)でサイトをスキャンする
- 感染源となっているコードやファイルを特定して削除する
この作業は、専門的な知識が必要になることが多いです。自力で解決するのが難しいと感じたら、迷わずセキュリティの専門家や復旧サービスに依頼しましょう。下手にいじって、状況を悪化させるのが一番最悪なパターンですから。
僕の場合は、まず契約しているレンタルサーバーのサポートに連絡して、サーバー側でウイルススキャンをかけてもらいました。それと同時に、WordPressのセキュリティに詳しい友人に泣きついて、一緒に不正なファイルを一つひとつ潰していきました。マジで、持つべきものは友だと思った瞬間でしたね。
もし周りに頼れる人がいない場合は、WordfenceやiThemes Securityのような高機能なセキュリティプラグインのプレミアム版に搭載されている、プロによる復旧サービスを利用するのも一つの手です。費用はかかりますが、確実にサイトをクリーンな状態に戻してくれる安心感は、何物にも代えがたいです。
超重要ポイント:問題を修正する時は、サイト全体をクリーンにする必要があります。一部のページだけ直しても、Googleは許してくれません。
ステップ3:Googleに「審査をリクエスト」する
サイトから全ての脅威を完全に除去できたら、いよいよ最終ステップです。Googleに「もう大丈夫です!チェックしてください!」とお願いするんです。
「セキュリティの問題」レポートに戻って、「審査をリクエスト」ボタンをクリックします。すると、どんな対策をしたのかを説明するフォームが表示されるので、ここに具体的に、誠意を込めて書き込みましょう。
【例文】
Googleチーム様
今回、ハッキングによるURLインジェクションの問題をご指摘いただき、ありがとうございます。
以下の対応を実施し、サイトから全ての不正なコンテンツを削除いたしました。
1. サーバー上の全てのファイルをスキャンし、不正なPHPファイル〇〇個を削除しました。
2. 脆弱性の原因となっていたプラグイン「XXXX」を停止・削除しました。
3. WordPressのコアファイル、テーマ、全てのプラグインを公式サイトから再インストールしました。
4. 全てのユーザーのパスワードを強制的にリセットし、より強力なものに変更しました。
現在はサイトが完全にクリーンな状態であることを確認済みです。お忙しいところ恐縮ですが、ご確認の上、審査をよろしくお願いいたします。ポイントは、「何をしたか」を具体的に書くこと。これを送ったら、あとは祈りながら待つだけです。再審査には数日から数週間かかることもあります。僕の場合は、5日くらいで「問題が解決されました」っていうメールが届いて、本気で泣きそうになりました。
この「審査をリクエスト」ボタンは、まさに地獄の釜の蓋を開けるための、最後の鍵です。でも、絶対に焦って押しちゃダメです。中途半端な状態でリクエストを送ると、「まだ問題が残ってるじゃん」とGoogle様のご機嫌を損ねて、次の審査までの期間が長くなったり、最悪の場合、常習犯としてマークされたりする可能性もありますから、慎重に。
よくある質問(FAQ)
最後に、この件についてよく聞かれる質問をまとめてみました。
Q1. Search Consoleは毎日チェックした方がいい?
理想は毎日です。でも、忙しいなら最低でも週に1回は必ずチェックしましょう。特に、何か新しいプラグインを入れたり、テーマをカスタマイズしたりした後は、念入りに確認する癖をつけるといいですよ。
Googleは、問題を発見したら登録メールアドレスに通知を送ってくれますが、それを見逃す可能性もありますからね。
Q2. Search Consoleはクリーンなのに、サイトの挙動がおかしい…
ハッキングの初期段階や、Googleがまだ検知していない未知の攻撃の可能性があります。表示が崩れる、身に覚えのない広告が表示される、動作が異常に重い、などの兆候があったら、すぐに専門のセキュリティプラグインでスキャンをかけたり、サーバーのログを確認したりしましょう。
「Search Consoleが大丈夫だから、サイトも大丈夫」と過信するのは禁物です。
Q3. 修正が完了したのに、検索結果の警告が消えない!
再審査には時間がかかります。Googleの審査が完了し、「問題が解決されました」という通知が来るまでは、警告は表示されたままになることが多いです。辛抱強く待ちましょう。
もし、数週間経っても状況が変わらない場合は、修正が不十分だった可能性があります。もう一度、サイト全体を徹底的に見直してみてください。
Q4. そもそも、ハッキングされないためにはどうすればいいの?
良い質問ですね!予防は治療に勝る、です。基本的なことですが、以下の対策は絶対にやっておきましょう。
- WordPress、テーマ、プラグインは常に最新の状態に保つ
- パスワードは複雑で、推測されにくいものにする(二段階認証も導入!)
- 信頼性の低いテーマやプラグインは使わない(特にnulled、海賊版は論外!)
- セキュリティプラグインを導入して、定期的にスキャンする
- ユーザー権限を適切に管理する
もう二度と悪夢を見ないために:7つの鉄壁予防策
FAQ でも触れましたが、予防策はめちゃくちゃ大事なので、もっと詳しく解説します。
1. 更新、更新、とにかく更新!
WordPress本体、テーマ、プラグインの更新通知が来たら、脊髄反射でアップデートするくらいの気持ちでいましょう。古いバージョンの脆弱性を放置するのは、「どうぞハッキングしてください」と玄関のドアを開けっ放しにしているのと同じです。
自動更新機能も積極的に活用しましょう。ただし、重要なサイトの場合は、更新前にバックアップを取ることをお忘れなく。
2. パスワードは「要塞化」する
「password」とか「123456」とか、論外です!最低でも12文字以上、大文字・小文字・数字・記号を組み合わせた、意味のない文字列にすること。
パスワード管理ツール(例えば 1Password や Bitwarden)を使えば、複雑なパスワードを安全に管理できるので、マジでおすすめです。僕も使ってますが、一度使い始めたら手放せなくなりますよ。
3. 二段階認証(2FA)は必須科目
ユーザー名とパスワードが突破されても、最後の砦となってくれるのが二段階認証です。スマホの認証アプリ(Google Authenticator や Authy など)と連携させて、ログイン時にワンタイムパスワードの入力を必須にしましょう。
これだけで、不正ログインの99%は防げると言われています。設定は5分もあれば終わるので、今すぐやりましょう。
4. ログインURLを変更する
WordPressのデフォルトのログインURL(/wp-login.php)は、世界中のハッカーに知られています。これを推測されにくいURLに変更するだけで、ブルートフォース攻撃(総当たり攻撃)のターゲットになるリスクを大幅に減らせます。
「WPS Hide Login」みたいなプラグインを使えば、簡単に変更できますよ。
5. 最終防衛ライン「WAF」を導入する
WAF(Web Application Firewall)は、サイトへの攻撃を検知してブロックしてくれる、いわばサイトの用心棒です。ConoHa WINGやエックスサーバーのような高機能なレンタルサーバーなら、無料でWAF機能がついてくることが多いです。必ず有効にしておきましょう。
6. 定期的なバックアップ
万が一の時のために、定期的なバックアップは必須です。できれば毎日、最低でも週に1回はバックアップを取りましょう。
プラグイン(UpdraftPlusなど)を使えば、自動バックアップも簡単に設定できます。バックアップは、外部ストレージ(Dropbox、Google Driveなど)に保存するのがベストです。
7. 不要なプラグインは削除する
使っていないプラグインは、セキュリティホールになる可能性があります。「いつか使うかも」と思って残しておくのではなく、使わないプラグインは思い切って削除しましょう。
停止しているだけでは不十分です。完全に削除することが重要です。
まとめ:サイトの健康診断は定期的に!
Google Search Consoleの「セキュリティの問題」レポートは、僕たちサイト運営者にとって、まさに命綱です。
- 定期的にチェックする習慣をつける(最低でも週に1回は見よう)
- 警告が出たら、焦らず、冷静に、でも迅速に対処する
- 自力で無理だと思ったら、専門家を頼る勇気を持つ
サイトのセキュリティ対策は、面倒くさいかもしれません。でも、一度問題が起きて、Googleからの信頼を失ってしまうと、それを取り戻すのは本当に大変です。
この記事を読んだのも何かの縁。今すぐ、自分のサイトの「健康診断」をしてみてください。そして、これからも安全で健全なサイト運営を続けていきましょう!
「うちのサイト、今どのくらい安全なんだろう?」
そんな疑問を持った方は、まずセキュリティ診断を受けてみるのもいいかもしれません。最近では、30秒ほどでサイトの安全性をチェックできる無料診断サービスもあります。暗号化の設定やプラグインの脆弱性、情報漏れのリスクなど、気になるポイントを一通り確認できます。
WordPressセキュリティ診断 https://rescue-wordpress.com/
実は、毎日100サイト以上がハッキングの被害に遭っているという現実があります。「まさか自分のサイトが狙われるなんて」と思っていても、被害は突然やってきます。
早めに問題を見つけて対処しておけば、大きなトラブルを未然に防げます。まずは自分のサイトの「健康診断」から始めてみませんか?