WordPress向けの検索フォームを使ったスパムについて

最近、WordPressのサイトを狙った「検索フォーム」を使用したスパム(spam)が流行っているようです。当サイトでも年明けくらいから目立って増加傾向にあります。

WordPressでは検索フォーム(当サイトの現時点でのデザインではページ右側の下部にある)に文字列を入力してWordPress管理内ページの検索を行うことができます。この検索結果のページのタイトルには検索用に入力した文字列がそのまま表示されます。

これを利用して、そのサイトに任意の文字列(単語など)を注入し、その検索結果ページを表示させるためのリンク元ページをどこかに設置して、そこを経由してGooglebotやbingbotなどの検索エンジンに読ませて、GoogleやBingの検索結果にその文字列(商品名なりサービス名なり特定のドメイン名なり)が表示されるようにしているのです:

WordPressの検索フォームでスパム単語を埋め込む手順

この手法で実際に当サイトのGoogle検索結果に混入された例を以下に示します:

実際に当サイトがGoogle検索に埋め込まれたスパム・ワード

場合によっては広告の禁止ワードを入れて広告を停止させるような攻撃にも応用されそうな気がします。

そんなわけで、当サイトでは本日より検索結果ページのタイトルに検索ワードを表示しないようにテーマの書き換えを行いました。

変更点はheader.php内で<title>タグを出力する部分を変更し、is_search()関数の呼び出し結果がTRUEであればサーチ中なので固定文字列を出すようにした点です。もしかするとフックにもっと適切なものがあるかもしれませんが、とりあえずということで。もう少しあとでWordPress関数を研究してみます。

しかしスパマーも実にいろいろな手段を生み出すものですね 😐

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です