WEB業界で働く人や興味がある人に役立つ情報サイト“qam（カム）”

投稿者： mane
カテゴリー： プログラム >セキュリティ

最近のWebサイトではCMSの導入が一般的となりましたが、それに伴い海外サイトからの攻撃を受けやすくなっているのも事実です。
2022年末頃から『サイト内検索結果ページ』を悪用したスパム攻撃が急増しています。
悪意あるアクセスは放置せずにしっかりと対策していきましょう。

サイト内検索とは？

サイト内の情報をユーザーがすぐに検索できるように設置されている、下図の様な検索ボックスが一般的です。
WordPressやMovable Type、Movable Type.netにはほぼ標準装備されています。
今回の様なスパム攻撃は、サイト内検索機能を利用していなくても、標準装備されているCMSを利用している場合は機能している可能性があるので、必ず確認しておきましょう。

スパムに汚染されていないかの確認方法

Google検索の画面にて「自サイトURL/?s=」と入力して検索します。
検索結果一覧が特に問題なければ今のところ汚染はされていない状態です。
汚染されている場合は、本サイトと全く関係の無い文章が表示されます。

注意

『Googleサイト内検索』は対策されているので、特に対策は必要ありません。
ですが、はじめに記載した通り、CMSを導入している場合は標準機能のサイト内検索を使用していなくても機能している場合があるので確認しましょう。

具体的な対策方法

実は対策はとってもシンプルです。
検索結果ページの元（テンプレート）となるページのheadタグの中に下記を記述します。

<meta name="robots" content="noindex,nofollow">

この記述をする事により、スパム攻撃を回避する事ができます。

おわりに

セキュリティ対策は、些細な事でも対策をする事で大きな損害を防ぐ事ができるので、しっかり対策していきましょう。
JADEサイト内にてより詳しくサイト内検索を狙ったスパム攻撃について解説されていますので、こちらもぜひ参考にして下さい。
JADE：https://blog.ja.dev/entry/blog/2023/02/08/site-search-spam