- サイト内検索をプラグイン無しで無効化したい
- サイト内検索を悪用したスパム攻撃の対策をしたい
この疑問に回答します。
WordPressのサイトを長年運用していると悪意あるアクセスもやってきます。運営サイトの評価をGoogleが落とす可能性があるので、悪意あるアクセスを放置せずにしっかりと対策を行いましょう。このサイトで実施している対策を紹介します。
WordPressのサイト内検索について
WordPressのサイト内検索
WordPressはサイト内検索が標準で搭載されています。サイト内検索と言われてもピンとこないと思いますので実際のウェブ画面をみてください。誰もが一度は見たことあると思います。
サイト内検索のパーツがあると、ウェブサイトにアクセスしたユーザーは検索したい語句を入力しサイト内にある記事を検索し読みたい記事を見つけることが出来ます。
もし、サイト内検索のパーツが無ければ、検索機能が出来ないと思ってしまいますが、実は違います。
特定のURLにアクセスするとサイト内検索の結果画面を表示することができます。
WordPressで動作しているブログで、次のような文字列「/?=文字列」を入力してアクセスしてみてください。
サイト内検索のパーツから入力しなくても、同じように検索結果の画面が表示されます。
これがWordPressのサイト内検索が標準搭載と言っている理由です。
サイト内検索スパム攻撃の被害状況を確認(Search Console)
サイト内検索を利用したスパム攻撃を受けているかの確認方法は、Google Search Consoleから確認するのが一番簡単です。
サイト内検索を利用したスパム攻撃を受けると、Search Consoleには下の画像のように見覚え無いURLが多く表示されます。
実際のGoogle Search Console から確認する手順です。「カバレッジ」からスパム攻撃の被害状況を確認することができます。
「カバレッジ」を表示させたあと「除外」をクリックすると詳細にリストが表示されます。
- noindex タグによって除外されました
- クロール済み – インデックス未登録
2つの項目を確認してください。
数個ある程度であれば、目くじらを立てる必要はありませんが、数が多くなると影響を否定することが出来なくなります。
「noindex タグによって除外されました」は特に気にしなくても大丈夫です。メタタグnoindex,followが付与されているので、Googleなどの検索エンジンにインデックスされません。
ただし、Google Search Console には表示され続けるので、数値が積みあがって来ると気になって仕方が無い方は、サイト内検索を無効化することをおススメします。
「クロール済み – インデックス未登録」に知らないURLが多く登録されていたら、Googleが低評価と判定している可能性があります。早急に対策を実施しましょう。
プラグイン無しでサイト内検索を無効化する方法
サイト内検索の無効化はプラグインを導入しなくても実施することが可能です。新たにプラグインを入れたくないと思う方は、プラグイン無しでサイト内検索を無効化してください。
functions.phpにコードを追加しフックする
WordPressの設定にサイト内検索を無効化するための項目がありません。サイト内検索を無効にする場合は、functions.phpにコードを追加する必要があります。
// WordPress標準のサイト内検索を無効化
function search_404( $query ) {
if ( is_search() ) {
// 404ページを返す
$query->set_404();
// 404コードを返す
status_header( 404 );
// キャッシュの無効化
nocache_headers();
}
}
add_filter( 'parse_query', 'search_404' );
WordPressのサイト内検索が使われた場合、強制的に404ページに飛ばすようにします。これでサイト内検索が無効化された状態になります。
サイト内検索の結果ページを404ページにする
サイト内検索の結果ページを最初から作るのは大変です。標準で提供されている404ページを利用することにします。
is_search()関数を利用してサイト内検索を検知し、404ページを返すように設定を行います。
応答ステータスコードを404に変更する
404ページにリダイレクトするだけでは、サイト内検索を利用したスパム対策にはなりません。
サイト内検索で利用されたURLは生きたままです。404ページの内容をキャッシュされる可能性があります。
WordPressを利用した404ページは、ソフト404と言われるページです。アクセスしてきたユーザーには「ページが無いですよ」と判断できます。
しかし、Googleのクローラーから見るとが、「ページが無い」というページがあると認識します。(ステータスコードがエラーの404ではなく、正常という200を返す)
Google Chromeの場合は、「デベロッパーツール」を利用すると簡単に確認することができます。サイト内検索の結果ページを表示させて右クリックし「検証」を選択します。「Network」タブに切り替えて「/?s=」のページを見つけてください。
「Status Code」が正常の「200」になっています。
status_header() 関数を利用し404を返すように変更してください。
これで、サイト内検索の結果ページは人が見ても、機械が見てもエラーと認識できます。
- 404ページを表示させる:ユーザーにエラーを認識させる
- ステータスコード404を返す:Googleクローラーにエラーを認識させる
検索結果ページをキャッシュさせない
ステータスコードは、エラーという意味の404を返しています。エラーページをキャッシュする必要はありませんので明示的に無効化させます。
nocache_headers() 関数を利用しキャッシュを無効化します。
まとめ
サイト内検索を無効化する方法は、functions.phpに関数を追加する必要があります。今回紹介した関数をコピペするだけなので簡単です。この関数を利用すると、サイト内検索が実施されたら次のような制御が行われます。
- 検索結果は404ページが表示される
- ステータスコード404を返し、クローラーにエラーを通知する
- キャッシュを無効化させる
あとは気長に待っていると、Google Search Console の画面が整理されてきます。
時間が経過すると「クロール済み – インデックス未登録」徐々に減っていることがわかると思います。サイト内検索を利用したスパム攻撃がリストから削除されています。
