Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
WPB Cup
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

WordPressでスパムリンクインジェクションを発見し削除する方法

思い浮かべてみてください:ある朝、あなたはWordPressサイトのアナリティクスをチェックしていた。トラフィックはドロップし、あなたのサイトは偽のデザイナーバッグから怪しい医薬品まで、あらゆるものを販売するスパムリンクでいっぱいであることに気づく。😱

私たちは、クライアントのサイトでこれを目の当たりにしてきました。実際、一夜にしてスパムだらけのサイトに変貌してしまったクライアントのお手伝いをしたこともあります。

しかし、私たちはそれをクリーンアップし、安全性を確保し、正常な状態に戻した。

私たちは、問題の発見と解決から、将来にわたるサイトの保護まで、すべてをカバーします。自力で取り組む場合でも、専門家の手を必要とする場合でも、私たちがお手伝いします。

この包括的なガイドでは、WordPressのスパムリンクインジェクションについて知っておくべきことをすべて説明します。

Finding and removing spam links in WordPress

ハッカーは、コンテンツに不正アクセスすると、WordPressサイトにスパムリンクを注入することができます。

これはデジタル落書きのようなもので、ただ醜いだけでなく、サイトの評判やパフォーマンスに深刻なダメージを与える可能性がある。

サイトが感染すると、迷惑なスパムリンクだけでは済みません。検索エンジンの順位が下がり、貴重なトラフィックと潜在的なカスタマイザーを失うことになります。

Googleが危険なサイトを一時的にブラックリストに載せたために、何千もの収益を失った企業も見てきた。

最悪なのは?これらのリンクの多くは、一般の訪問者には見えないが、検索エンジンには完全に見えている。白いテキストに非表示になっていたり、フッターに隠れていたり、巧妙なコードで隠されていたりする。🕵️

このような攻撃の仕組みを理解することが、サイトを守る第一歩です。このガイドでは、あなたのサイトをクリーンアップする2つの方法をご紹介します。以下のリンクからご確認ください:

始めよう!

方法1:WordPressのセキュリティ専門家に依頼する(推奨👍)。

DIYのアプローチに入る前に、WordPressセキュリティの専門家を雇うことを検討する理由について説明しましょう。

私たちは、何週間もかけて自分たちのサイトをきれいにしようとしていたにもかかわらず、深く隠れていた悪意のあるコードを見逃してしまったために、スパムリンクが戻ってきてしまったクライアントと仕事をしたことがあります。

プロの助けが重要な理由

スパムリンクの削除は、数行のコードを削除するほど単純ではありません。ハッカーは巧妙で、再感染を引き起こす複数のバックドアを残すことがよくある。

病気の治療と同じで、市販の薬だけでなく、医師の専門知識が必要な場合もある。

⚠️警告適切な知識なしにハッキングされたサイトをクリーンアップしようとすると、データの損失や問題の悪化につながる可能性があります。

WPBeginnerのハッキングされたサイト修復サービスでは、サイトの回復に包括的なアプローチを取ります。目に見えるスパムだけを取り除くのではなく、サイト全体のディープクリーニングを行います。

私たちのチームは、非表示のバックドアを検索し、WordPressのセキュリティを強化し、将来の攻撃を防ぐためにセキュリティ監視を設定します。得られるもの

  • サイトのクリーンアップとマルウェアの除去
  • WordPressセキュリティの専門家によるサポート
  • クリーンサイトのバックアップ

また、万が一サイトの修正ができなかった場合は、30日間全額返金いたします。

もしあなたがDIYのルートを取っているのなら、最初の仕事は厄介なスパムリンクをすべて見つけることです。それでは、順を追って説明していこう。

非表示の悪意のあるコンテンツを発見するために私たちが使用しているプロセスを説明します。これにはいくつかの方法がありますが、見落としがないよう、これらのアプローチをすべて試してみるとよいでしょう。

設定1:Google Search Consoleを使用してスパムリンクを見つける

Google Search Consoleは、スパムリンクを発見するための最初の防衛線です。これはGoogleが提供する無料のツールで、サイトオーナーは自分のサイトが検索結果でどのように表示されているかを確認することができます。

大量のインサイトを提供し、Google検索におけるサイトの健全性を検出するのに役立つ優れた診断ツールを備えています。まだセットアップしていない場合は、Google Search Console チュートリアルをご覧ください。

セットアップが完了したら、やるべきことは以下の通りだ。

まず、Google Search Consoleにログインし、サイトを選択します。その後、左サイドバーの「セキュリティと手動アクション」タブに移動します。

Google Search Console security and manual actions

ここでは、「不自然なリンク」や「スパムコンテンツ」についての警告がないかどうかを確認する必要がある。

問題が検出されませんでした」と表示されても、必ずしもあなたのサイトがクリーンであるとは限らないことを覚えておいてください。Googleがまだフラグを立てていないスパムリンクがあるかもしれません。

次に、「リンク」レポートをチェックして、不審なパターンを特定する必要がある。

Google Search Console Links reports

これらのレポートの中で、不審なドメインやリンクテキストが外観されていないかどうかを確認します。不審なドメインとは、見覚えがなく、信頼できるかどうかも確認できないドメインからのものを指します。

設定2.手動サイトチェックでスパムリンクを見つける

ハッカーは自分の痕跡を非表示にするために創造的である。私たちは最近、ページ全体を選択したときにのみ表示される非表示テキストを使用して、クライアントのサイト内に隠されたスパムリンクを発見しました。

よくある非表示の場所は、フッター、正当なコンテンツ内(特に過去の投稿)、ウィジェットエリア、テンプレートファイルなどです。

サイトのソースコードを手作業でチェックすることで、スパムリンクを発見できることがあります。

💡 プロのヒント: ブラウザーの「ソースを表示」機能を使って、非表示のスパムリンクがないかソースコードを見る。

View page source

暗号化されていたり、ごちゃごちゃしていたりするコードには特に注意してください。🚩

これらのリンクを見つけるもう一つの方法は、あなたのサイトのインデックスされたページのGoogleの検索結果を見ることです。

あなたのサイトに本当にスパムが注入されている場合、結果を見ると、奇妙なメタ情報を持つリンク、医薬品キーワードを含むページ、または外国語の文字が表示されることがあります。

Locate links in Google SERPs

あなたのサイトでこのようなスパムリンクを見つけることの問題点は、削除しても削除しても必ずしもうまくいかないということです。しかも、この作業には本当に時間がかかります。

このようなスパムリンクの原因となる悪質なコードを特定することは、より迅速かつ効果的です。次のセクションでその方法を説明する。

設定3.セキュリティスキャナーを使って悪意のあるコードとリンクを見つける

Sucuriや Wordfenceのようなセキュリティプラグインは、サイトを有効化した上で自動的に問題を検出します。

これらのツールは、変更されたコアファイル、疑わしいコードパターン、既知のマルウェアのシグネチャ、不正なファイルの変更についてサイトをスキャンします。

不審な動きがないか定数パトロールしている、あなたのサイトの警備員だと考えてください。スキャンを実行することで、ハッカーがサイトに残した可能性のある非表示のバックドアを見つけることができるかもしれません。

使用しているWordPressセキュリティプラグインに応じて、悪意のあるコードを探すために新しいスキャンを開始するだけです。

例えば、Wordfenceを使用している場合、Wordfence ” Scanに行き、’Start New Scan’ボタンをクリックする必要があります。

Start new scan

これらのプラグインは、ファイルの変更を検出し、不審なコードや悪意のあるコードを探すことに長けている。

検出されると、問題を解決するための推奨アクションも表示されます。

このプロセスの詳細については、潜在的に悪意のあるコードがないかWordPressサイトをスキャンする方法についての初心者向けガイドをご覧ください。

スパムリンクや悪意のあるコードが注入されているリンクを見つけたら、次のステップはそれらを削除することです。

WordPressのセキュリティ・プラグインを使用している場合、リンクを削除するためのアクションが自動的に提案されることがあります。

Security actions suggested by WordPress security plugin

しかし、これらのファイルを削除してもうまくいかず、サイトがスパムリンクを表示したままになることがあります。

完全にクリーンアップするためには、悪意のあるコードやリンクがどこにどのように挿入されているかに応じて、複数のツールやテクニックを使用する必要があります。

次のステップで、これらのツールとその使い方を見ていこう。

ステップ3.検索と置換を使用したデータベースのクリーンアップ

あなたのサイトにスパムリンクがあることがわかったので、次のステップはそれらを一掃することです。

このような厄介なスパムリンクを個別には見つけられなかったかもしれません。しかし、そのようなリンクがどのようなものかを知っていれば、一括して削除するのは簡単です。

そこで便利なのが「検索と置換」だ。

WordPressデータベース全体を検索し、一致するテキストを見つけることができる強力なWordPressデータベース検索プラグインです。

Search & Replace Everythingをインストールして有効化し、Tools ” WP Search & Replaceのページにアクセスするだけです。

Finding suspicious links or text in your WordPress database

検索対象」フィールドに、先ほど見つけた疑わしいリンクやテキストを入力する必要があります。

その後、どのデータベース・テーブルを調べるかを選択する。

あとは、「検索と置換のプレビュー」ボタンをクリックして、検索を実行してください。

プラグインは、WordPressのデータベースで入力したキーワードを検索し、結果のプレビューを表示します。

Preview search results

プラグインは、これらのリンクが表示される場所を表示します。それらは投稿やページ、コメントする、またはあなたのサイトの他のエリアにあるかもしれません。

検索と置換を使えば、疑わしいリンクを一掃することもできる。リンクの挿入に使用されたテキストを正確に探し出し、空白の文字列に置き換えます。

Search and replace spam links

ℹ️ 詳細については、WordPressで検索と置換を実行するためのチュートリアルを参照してください。

WordPressのデータベースでスパムリンクを特定できない場合、リンクがWordPressのテーマやプラグインファイルに追加されている可能性が高い。

今日、ほとんどの最新のWordPressテーマやプラグインには複数のファイルが付属しており、その一つ一つを手作業でチェックするのは大変です。

いくつかのプラグインしか使っていないのであれば、それらを削除するのが最も簡単な解決策でしょう。これを行うには、プラグイン ” インストーラプラグインに行きます。一括操作’ドロップダウンメニューで、’削除’を選択し、’適用’します。

🚨 警告:警告:インストールしたプラグインがサイトの重要な機能やデザイン要素(注文システムやカスタマイザーなど)を担っている場合、この方法はお勧めできません。

さらにサイトの運営に支障をきたし、重要なデータを失うことにもなりかねません。このような場合は、WordPressセキュリティの専門家にスパムの問題を依頼することをお勧めします。

delete all plugins

その後、これらのプラグインの新しいコピーをダウンロードして、サイトにインストールすることができます。詳しくは、WordPressプラグインを正しくアンインストールする方法のチュートリアルをご覧ください。

次に、WordPressテーマも同じようにする必要があります。ただし、現在使用しているWordPressテーマを削除すると、テーマの設定が失われ、元のように設定し直さなければならなくなる可能性があることに注意してください。

まず、デフォルトのWordPressテーマをインストールする必要があります。WordPressテーマのインストール方法については、チュートリアルをご覧ください。

デフォルトのWordPressテーマは、WordPressの公式テーマです。通常、Twenty Twenty-Five、Twenty Twenty-Fourなど、リリースされた年に基づいた名前が付けられています。

⚠️重要なお知らせ:すでにデフォルトテーマをインストールしている場合は、そのテーマも影響を受ける可能性があるため、使用できません。新しいデフォルトテーマをインストールする必要があります。

新しいデフォルトテーマをインストールしたら、有効化する必要があります。

Activate default theme

初期テーマを有効化した後、WordPressはアクティブでないテーマを削除します。

以前のテーマをクリックして、サイトから削除することができます。

Delete theme from your website

テーマを削除した後、ソースから新しいテーマをダウンロードしてインストーラする必要があります。

テーマやプラグインファイルを新しいコピーに置き換えることで、クリーンなコードを使用し、マルウェアを含む可能性のある変更されたファイルを排除することができます。

ステップ5.重要ファイルのクリーンアップ

WordPressインストーラには、ハッカーが好んで狙う重要なファイルがいくつかあります。.htaccessファイルは、リダイレクトハックに対して特に脆弱です。

幸いなことに、WordPressは自分で.htaccessファイルを再生成することができます。そのため、FTPクライアントを使用してサイトに接続し、ウェブサイトのルートフォルダにある.htaccessファイルを削除するだけです。

Delete .htaccess file

.htaccessファイルが正しく再生成されたか確認したい場合は、WordPressの.htaccessファイルを修正する方法をご覧ください。

wp-config.phpファイルも、ハッカーがよく狙うWordPressの重要なファイルだ。

FTPを使って、既存のwp-config.phpファイルのコピーをバックアップとしてコンピューターにダウンロードすることができます。

Download wp-config.php file to your computer for editing

その後、WordPress.orgにアクセスし、WordPressの新しいコピーをコンピューターにダウンロードする必要があります。

ファイルを解凍すると、その中にwp-config-sample.phpファイルがあります。

次に、FTPを使ってwp-config-sample.phpファイルをサイトにアップロードする必要があります。

Upload wp-config-sample.php file

アップロードしたら、wp-config.phpにリネームしてください。

しかし、wp-configファイルにはWordPressデータベースに接続するために必要ないくつかの重要な情報が含まれていないため、動作しません。これには

  • データベース名
  • データベースのユーザー名とパスワード
  • データベースホスティングサービス
  • データベース・テーブルの接頭辞

この情報は、バックアップとして以前にダウンロードした古いwp-configファイルからコピーすることができます。情報を追加したら、変更を保存してアップロードする必要があります。

詳しくは、WordPressのwp-config.phpファイルの編集方法を説明したチュートリアルをご覧ください。

ステップ6.クリーンアップ後のサイトの保護

サイトがきれいになったら、その状態を維持できるようにしましょう!🛡️ セキュリティは一度限りのものではなく、注意とメンテナンスが必須の継続的なプロセスです。

パスワードをすべて変更する

最初のセキュリティ対策は、サイトに関連するパスワードを個別に変更することです。

WordPress管理アカウント、FTP情報、データベースパスワード、ホスティングコントロール画面ログイン、サイトに接続されているメールアカウントなどです。

💡 プロからのアドバイス:強力でユニークなパスワードを生成・保存するために、パスワードマネージャーを使いましょう。セキュリティ機能と使いやすさで1Passwordをお勧めします。

ファイアウォール&セキュリティプラグインセットアップ

ファイアウォールと優れたセキュリティ・プラグインを使うことは、あなたのサイトにプロのセキュリティ・チームを雇うようなものだ。

これらのツールを使うことをお勧めする:

  • ウェブアプリケーションファイアウォール(Cloudflareがお気に入り。)
  • ファイルの整合性監視(SucuriとWordfenceの両方を気に入っています。)

関連投稿WordPressファイアウォールプラグインの比較

自動バックアップの設定

サイトがきれいになったら、次のステップは二度と苦労して作ったものを失わないようにすることです。定期的なバックアップは、サイトがハッキングされたり、クラッシュしたり、偶発的なデータ消失に直面した場合、大きな頭痛の種からあなたを救うことができます。

Duplicatorを使用してWordPressサイトの自動バックアップを設定することをお勧めします。強力で使いやすいプラグインで、フルバックアップを作成し、安全に保存することができます。

Duplicator

Duplicatorをお勧めする理由:

私たちは多くのサイトでDuplicatorを使用しており、市場で最も信頼できるWordPressバックアップソリューションであることを確認しています。Duplicatorを使えば、以下のことができます:

  • 定期的なバックアップの自動化– 設定して、後は忘れてください。Duplicatorは定期的にサイトを自動的にバックアップします。
  • ☁️ バックアップをクラウドに保存– バックアップをGoogleドライブ、Dropbox、Amazon S3などに保存できます。
  • 🔄 1クリックで復元– 何か問題が発生した場合、個別クリックでサイトを素早く復元できます。

さらに詳しく知りたい方は、Duplicatorのレビューをご覧ください。また、代替プラグインをお探しの場合は、WordPressバックアッププラグインのベストセレクションをご覧ください。

サイトのセキュリティ・コントロールを取り戻そう

スパムリンクインジェクションに対処するのは難しく感じるかもしれませんが、忘れないでください。自分で問題に取り組むにしても、専門家を雇うにしても、重要なのは迅速かつ徹底的に問題に対処することです。

しかし、予防は常にダメージコントロールに勝ることを忘れてはならない。適切なセキュリティ対策を講じ、警戒を怠らないことで、将来の攻撃リスクを大幅に減らすことができる。

それは、サイトの将来への投資であり、安心と収益の確保という形で返ってくるものだと考えてください。

ハッカーにサイトを人質に取られないで – 今すぐ対策を!💪

ボーナスリソースWordPressのセキュリティ

WordPressサイトを安全に保つことは、ビジネスの成長に不可欠です。ここでは、サイトのセキュリティを向上させるために役立つリソースをご紹介します:

If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.

Disclosure: Our content is reader-supported. This means if you click on some of our links, then we may earn a commission. See how WPBeginner is funded, why it matters, and how you can support us. Here's our editorial process.

アバター

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

The Ultimate WordPress Toolkit

Get FREE access to our toolkit - a collection of WordPress related products and resources that every professional should have!

Reader Interactions

Comments

  1. Congratulations, you have the opportunity to be the first commenter on this article.
    Have a question or suggestion? Please leave a comment to start the discussion.

Leave A Reply

Thanks for choosing to leave a comment. Please keep in mind that all comments are moderated according to our comment policy, and your email address will NOT be published. Please Do NOT use keywords in the name field. Let's have a personal and meaningful conversation.