先日、Google サーチコンソール(GSC)でサイトの状態をチェックしていたところ、
wp-login.php?wp_lang=ja や wp-login.php?action=lostpassword といったURLが「インデックス対象」として検出されているのを見つけました。
「えっ、ログイン画面が公開されてる!?」と驚いて調べてみると、どうやら WordPress 5.9 以降の仕様変更で、ログイン画面に「言語切り替え」が追加されたのが原因でした。
なぜログイン画面がインデックスされるのか?
- WordPress 5.9 からログイン画面に「言語選択ドロップダウン」が追加
- その結果
?wp_lang=jaや?wp_lang=en_USがURLとして存在するようになる - クローラが「別ページ」と認識してインデックス候補にしてしまう
つまり、知らずに放置していると、Google検索にログイン画面が出てしまう可能性があるんです。
これはまるで「攻撃者にログイン入口を教えている」ようなもので、正直かなり怖い話です。
私が実際に行った対策
1. Apache で X-Robots-Tag を返す
<IfModule mod_headers.c> <FilesMatch "^(wp-login\.php|wp-register\.php)$"> Header always set X-Robots-Tag "noindex, nofollow, noarchive" </FilesMatch>
</IfModule>
設定後に curl で確認すると、
X-Robots-Tag: noindex, nofollow, noarchive が返ってきているのを確認できました。
2. MUプラグインでの念押し
さらに MUプラグインで <meta name="robots" content="noindex,nofollow"> を追加し、ブラウザ側にも二重に伝えるようにしました。
3. GSCで一時的に削除
すでに検出済みだったURLは、Search Consoleの「削除ツール」で一時的に除外。恒久的な解決は noindex ヘッダです。
まとめ:知らないと本当に危ない仕様
WordPress 5.9 以降の仕様変更は便利機能のつもりかもしれませんが、管理者が知らないとログイン画面が検索に出てしまう落とし穴です。
今回のように GSC を見ていて「あれ?」と気づかなければ、そのまま公開されていたかもしれません。
対策は簡単で「X-Robots-Tag で noindex を返す」こと。
WordPress を運用している方は、ぜひ今すぐ自分のログインURLがインデックス対象になっていないか確認してみてください。
