Search Consoleには、普段あまり意識しないような検索クエリが表示されることがあります。
今回見つけたのは、少し気になるもの。
inurl:wp-adminWordPressの管理画面に関係するこの検索が、なぜか私のサイトで上位表示されていました。
このクエリは何を意味しているのか。
そして、どんな人が検索しているのか。
WordPressサイト運営者の視点から整理してみます。
inurl:wp-adminとは何か|検索演算子の意味
このクエリは、いわゆる「検索演算子」を使ったものです。
inurl:→ URLに特定の文字列を含むページを検索wp-admin→ WordPressの管理画面のパス
つまり、「URLにwp-adminを含むサイトを探す検索」という意味になります。
さらに、
inurl:"/wp-admin"のようにダブルクォーテーションが付いている場合は、完全一致で「/wp-admin」を含むURLを探すという、より精度の高い検索になります。
この検索クエリは誰が使うのか
正直なところ、この検索をする人はかなり限られます。
一般ユーザーが使うような検索ではありません。
考えられるのは以下のような層です。
- セキュリティ学習者
- 調査・研究目的の人
- 自動化ツールを作っている人
- 攻撃対象を探している人
特に後半の2つは、いわゆる偵察段階で使われることが多い検索です。
なぜ攻撃者はwp-adminを探すのか
WordPressの標準的な管理画面URLは以下の通りです。
https://example.com/wp-admin/このURLが分かれば、
- ログインページ(
wp-login.php)にアクセスできる - 管理画面への入口が分かる
つまり、攻撃の入口を見つけることができるというわけです。
そのため、こうした検索で対象サイトをリストアップし、そこからブルートフォース攻撃などに繋がるケースもあります。
実際にWordPressサイトには、公開直後からこうしたスキャンアクセスが大量に発生します。
実際のアクセスログについては以下の記事で詳しく紹介しています。
▶ wp-adminはなぜ狙われるのか│WordPressで最もスキャンされるURLの正体
この検索でログインページが脆弱なWordPressサイトは見つかるのか?
ここで気になるのが、「この検索で脆弱なサイトが見つかるのか?」という点です。
結論から言うと、見つかることはあるが、昔ほど簡単ではありません。
なぜ脆弱なサイトが混ざるのか
inurl:wp-adminは、単純に管理画面のURLを含むサイトを探す検索です。
そのため、検索結果には以下のようなサイトが混在します。
- 通常のWordPressサイト
- セキュリティ対策が施されているサイト
- セキュリティが甘いサイト
この中に、運が良ければ(あるいは悪ければ)脆弱なサイトが含まれていることがあります。
このようなリスクを避けるためには、最低限のWordPressセキュリティ設定が重要です。
基本的な対策については以下の記事でまとめています。
▶ WordPressのセキュリティ対策は何からやるべきか│初心者向けに最低限の設定を解説
実際に見られるセキュリティ対策が甘い設定の例
検索結果から見つかる可能性があるのは、例えば以下のような状態のサイトです。
/wp-adminや/wp-login.phpがそのまま公開されている- Basic認証などのアクセス制限がない
- WordPress本体やプラグインが古いまま放置されている
- バージョン情報がそのまま公開されている
- xmlrpcが有効でブルートフォース攻撃の対象になりやすい
これらが組み合わさると、ログイン画面の場所がすぐに分かり、しかも総当たりログインなどの攻撃を受けやすい状態になります。
Google Dorkとは何か|inurl検索の正体
こうした検索は、いわゆる「Google Dork」と呼ばれる手法の一種です。
昔と今でどう変わったのか─脆弱サイトの見つかりやすさ
昔
- 検索するだけで脆弱なサイトが見つかることも多かった
- 管理が行き届いていないサイトが多かった
現在
- ホスティング側のWAFやセキュリティ機能が強化
- WordPressの自動更新が普及
- 全体的にセキュリティ意識が向上
そのため、検索するだけで危険なサイトが大量に見つかる状況ではなくなっています。
なぜ今でも使用されているのか
では、なぜ今でもこのような検索が使われるのでしょうか。
それは、攻撃対象の候補を集めるためです。
実際の流れは以下のようになります。
inurl:wp-adminなどで候補サイトを収集- 自動ツールやbotでアクセス
- レスポンスや挙動を確認
- 対策が甘いサイトだけを絞り込む
つまり、検索はあくまで偵察の前段階に過ぎません。
実際の攻撃かどうかを判断するには、Search Consoleではなくサーバーログを確認する必要があります。
WordPress公開直後のアクセスログを分析した内容については、こちらの記事でも詳しく解説しています。
▶ WordPress公開直後にBotアクセス|favicon取得から分かるスキャンの特徴
検索結果に表示=脆弱ではない理由
ここは誤解されやすいポイントですが、検索結果に表示される=脆弱なサイト、ではありません。
実際には、
- 普通に運営されているサイト
- しっかり対策されているサイト
も多数含まれています。
今回のように、自分のサイトがヒットした場合も、検索意図に合致したコンテンツとして評価されただけと考えるのが自然です。
なぜ自分のサイトがヒットしたのか
今回、私のサイトがこのクエリで上位表示されていました。
理由としては、おそらく以下のどれかです。
- 記事内で「
wp-admin」という単語を扱っている - WordPressセキュリティ関連の内容と一致した
- Googleの関連性判定に引っかかった
つまり、「攻撃対象として見つかった」というよりは、検索意図に合致したコンテンツとして評価された可能性が高いです。
Search Consoleに表示されても攻撃とは限らない
ここが一番気になるポイントだと思いますが、
Search Consoleにこのクエリが出た=攻撃されている、ではありません。
あくまで、
- 誰かがGoogleで検索した
- その結果に自分のサイトが表示された
というだけです。
実際の攻撃は、サーバーログやWAFログなどで確認する必要があります。
むしろSEO的には良い兆候
今回の件、最初は少し不気味に感じましたが、冷静に見るとポジティブな側面もあります。
- ニッチなクエリで上位表示されている
- セキュリティ関連の検索意図にマッチしている
- 専門性のある領域で評価され始めている
特に、平均掲載順位が2.7というのは、新規サイトとしてはかなり良い状態です。
検索クエリから見える攻撃者の視点とは
今回のようなクエリは、普通のブログではまず見かけません。
ですが、WordPressやセキュリティ系のテーマを扱っていると、
- 攻撃者視点のキーワード
- 偵察に使われる検索
- 技術者向けのクエリ
といった、少し特殊な検索が流入してくることがあります。
これは裏を返せば、その分野にしっかり刺さっているとも言えます。
まとめ|inurl:wp-adminクエリの意味と注意点
Search Consoleに表示された「inurl:wp-admin」というクエリは、一見すると不気味ですが、仕組みを理解すればそこまで怖いものではありません。
- URLに
wp-adminを含むサイトを探す検索 - 一般ユーザーではなく、専門的な層が使うことが多い
- 表示されただけで攻撃されているわけではない
そして何より、ニッチな領域で評価され始めているサインとして捉えることもできます。