昨日、突然Google Search Consoleから身に覚えのないメッセージが届いた。
https://XXXX.jp/ の新しい所有者を追加しました
追加されたユーザーのGoogleアカウントIDは”yhbrhdsi2122”、ググっても出てこないのでスパム的に作られたアカウントっぽい。
即、ユーザーを削除してFTPを確認。以下の不明なファイルがアップされていた。
- Search Console認証用HTMLファイル
- sitemap.xml
- log.php
- md5.php
- Cteaboer.php
とりあえず全部削除。sitemap.xmlについては見落としそうになった。
しかもこのxmlファイル、7.4 MBあるテキストファイルで実在しないURL(PDF)ファイルへのリンクが超たくさん記載されてる。
この現象について、日本語で書かれている記事が殆ど見当たらず、Googleのフォーラムにも質問があったけど、回答には至っていなかった。
会員登録してないから読めていないけど、これが該当するのかな?
Google Search Console」を悪用して“サイバー攻撃SEO”、その深刻度は
なお、このSearch Console乗っ取りを経て、本日。それまで1ページ目内だったワードでランク外まで落ちてしまうキーワードが多く見受けられ、サイト全体の検索順位が大きく落ちてしまうことになりました。
起こっていた事 – 2015-11-18追記
これは後日気づいたのですが、要は検索結果のクラックでした。直でURLを入力して、サイトへアクセスする場合は問題ないのですが、 検索結果からのアクセスがあった際に別のサイト(中国の詐欺っぽい通販サイト)へリダイレクトされていました。 sitemam.xmlは、そのリダイレクト用のディレクトリ(実際は空)を生成し、後述するphpファイルでリダイレクト処理をかけるというものでした。
原因と対策
原因は、Wordpressファイルのクラッキングです。WordPress本体のphpファイルが書き込み可になっており、上記phpでのリダイレクトが行なわれています。 ですので、phpファイルのパーミッションの変更が必要になります。調べた限り、wp-config.phpの書き換えが多かったようですが、わたしの場合はwp-load.phpでした。
また、サイトマップ送信により検索結果にスパムファイルへのインデックスは残ってしまっているので、SerchConsoleでのURLの削除は地道に行っていく必要があります。 気づいてすぐだったので被害は少ない(30件程のインデックス)ですが、早めに対策していないと相当面倒なことになりそうです。