На сайте WordPress появились чужие страницы в Google

На сайте WordPress появились чужие страницы в Google

Краткий ответ: если на сайте WordPress появились чужие страницы в Google, чаще всего это признак SEO-спама, взлома, скрытых страниц, вредоносного кода, заражённой базы данных, подменённого sitemap.xml или автоматической генерации мусорных URL. Сначала нужно не удалять всё подряд, а сделать backup, проверить Search Console, найти источник чужих страниц, очистить файлы и базу, закрыть уязвимость и только потом удалять мусорные URL из индекса Google.

Такая проблема опасна не только для SEO. Чужие страницы могут вести на казино, лекарства, фишинг, вредоносные сайты, дорвеи или спам-контент. Google может начать показывать эти URL в поиске, пометить сайт как опасный, снизить доверие к домену или исключить часть страниц из выдачи.

Если сайт важен для заявок, продаж или репутации бизнеса, не ограничивайтесь удалением нескольких URL из Google. Нужно найти причину появления чужих страниц внутри WordPress: файлы, плагины, тему, базу данных, пользователей, .htaccess, sitemap, cron-задачи и скрытые backdoor-файлы.

Причина

Чужие страницы в Google обычно появляются не сами по себе. Google индексирует то, что смог найти: через sitemap, внутренние ссылки, внешние спам-ссылки, скрытые URL, взломанные файлы, базу данных или автоматически созданные страницы.

Если вы видите в Google чужие заголовки, странные URL, японские символы, казино, лекарства, купоны, бренды, чужие товары или страницы, которых нет в админке WordPress, это почти всегда техническая проблема или следствие взлома.

Симптом	Возможная причина	Что проверить
В Google появились сотни странных URL	SEO-спам, дорвей, генератор страниц	файлы, базу, sitemap, Search Console
Страницы есть в Google, но в WordPress их нет	вредоносный роутинг, .htaccess, PHP-backdoor	.htaccess, index.php, wp-config.php, uploads
URL открываются только для Google	cloaking, подмена контента для ботов	server logs, user-agent, security scanner
В заголовках японский текст	Japanese keyword hack	wp_posts, wp_postmeta, theme files, sitemap
Google показывает казино/лекарства	spam injection или parasite SEO	базу данных, скрытые ссылки, пользователей
Страницы уже удалены, но есть в поиске	Google ещё не переобошёл сайт	404/410, sitemap, Removals в Search Console
Чужие URL снова появляются после чистки	остался backdoor или cron-задача	uploads, mu-plugins, wp-cron, admin users

Если есть признаки заражения, сначала полезно изучить порядок очистки из материала как удалить вирус с сайта WordPress. Если сайт точно был взломан, дополнительно проверьте инструкцию сайт WordPress взломали: что делать владельцу сайта.

Диагностика

Главная задача диагностики — понять, откуда Google берёт чужие страницы. Нельзя начинать только с удаления URL из поиска. Если источник спама остаётся на сайте, Google снова найдёт эти страницы.

1. Проверьте выдачу Google

Начните с оператора site:

site:example.com

Замените example.com на свой домен. Посмотрите, какие URL попали в индекс. Обратите внимание на:

• чужие заголовки;
• странные slug;
• URL с товарами, купонами, лекарствами, казино;
• страницы на чужом языке;
• страницы, которых нет в админке WordPress;
• массовые URL с одинаковой структурой;
• подозрительные разделы, например /news/, /shop/, /tag/, /cache/, если вы их не создавали.

2. Проверьте Google Search Console

В Google Search Console проверьте разделы индексации, страниц, sitemap и проблем безопасности. Если Google считает сайт опасным или взломанным, там могут быть подсказки по типу проблемы.

• страницы в индексе;
• страницы исключены;
• найденные, но не проиндексированные URL;
• sitemap.xml;
• раздел “Проблемы безопасности”;
• ручные меры;
• примеры URL, которые Google считает подозрительными.

Официальная справка Google по опасным и взломанным сайтам доступна здесь: Why is my site labeled as dangerous in Google Search?.

3. Проверьте sitemap.xml

Откройте sitemap сайта и проверьте, нет ли там чужих URL. Иногда вредоносный код подменяет sitemap или добавляет туда мусорные страницы.

Проверьте:

• /sitemap.xml;
• /wp-sitemap.xml;
• sitemap SEO-плагина;
• дополнительные sitemap-файлы;
• старые sitemap от отключённых плагинов;
• sitemap в Search Console.

Если чужие страницы есть в sitemap, Google будет продолжать их находить. Сначала нужно убрать источник генерации, потом обновить sitemap и отправить его заново.

4. Проверьте, открываются ли чужие URL

Откройте несколько мусорных URL из Google. Важно понять, что они возвращают сейчас.

Ответ страницы	Что это значит	Что делать
200 OK	страница реально существует или генерируется	искать источник в WordPress, файлах или базе
301/302	есть редирект	проверить .htaccess, плагины, wp_options
404	страница удалена, но ещё есть в Google	проверить sitemap и ждать переобхода или использовать Removals
410	страница явно удалена	подходит для мусорных URL, если они точно не нужны
разный контент для вас и Google	возможен cloaking	проверить user-agent, логи, вредоносный код

5. Проверьте админку WordPress

Посмотрите, нет ли чужих записей, страниц, товаров, пользователей или подозрительных черновиков.

• Записи;
• Страницы;
• Товары WooCommerce;
• Рубрики и метки;
• Медиафайлы;
• Пользователи с ролью administrator;
• Неизвестные плагины;
• mu-plugins;
• неизвестные сниппеты кода.

6. Проверьте базу данных

Иногда чужие страницы не видны как обычные записи, но спам хранится в wp_posts, wp_postmeta, wp_options, wp_terms или в таблицах плагинов. Особенно часто это бывает после SEO-спам взлома.

Ищите подозрительные слова, домены, чужие бренды, японские символы, casino, pharma, viagra, bonus, loan, slots, betting и похожие маркеры.

Решение

Правильный порядок такой: сохранить копию, найти источник, очистить сайт, закрыть уязвимость, проверить ответы URL, обновить sitemap, запросить переобход и только потом заниматься удалением мусора из Google.

1. Сделайте backup перед чисткой

Даже если сайт заражён, backup нужен. Он помогает сравнить файлы, восстановить данные и не потерять важную информацию при очистке.

• сохраните файлы сайта;
• экспортируйте базу данных;
• сохраните wp-config.php;
• сохраните .htaccess;
• сохраните список плагинов;
• сохраните текущий sitemap;
• выгрузите список подозрительных URL из Search Console.

2. Найдите источник чужих страниц

Если чужие URL сейчас отдают 200 OK, нужно найти, что их создаёт. Источник может быть в файлах, базе, плагине, теме, .htaccess или отдельном backdoor-файле.

Проверьте:

• активную тему и functions.php;
• папку wp-content/uploads;
• папку wp-content/mu-plugins;
• неизвестные плагины;
• index.php в корне сайта;
• wp-config.php;
• .htaccess;
• wp_options;
• wp_posts и wp_postmeta;
• cron-задачи;
• новых пользователей-администраторов.

3. Удалите вредоносный код и backdoor

Удалить только видимый спам недостаточно. Если остался backdoor, чужие страницы появятся снова.

Что нужно проверить после очистки:

• нет ли PHP-файлов в uploads;
• нет ли подозрительных include, eval, base64_decode, gzinflate;
• нет ли неизвестных admin-пользователей;
• нет ли скрытых плагинов;
• не изменены ли файлы ядра WordPress;
• нет ли чужих sitemap-файлов;
• нет ли автогенератора страниц;
• нет ли подозрительных cron-задач.

4. Обновите WordPress, плагины и тему

После очистки нужно закрыть вход, через который сайт был заражён. Частые причины: старые плагины, nulled-тема, уязвимый файловый менеджер, слабые пароли, старый WordPress, открытая админка без защиты.

• обновите WordPress;
• обновите плагины;
• обновите тему;
• удалите неиспользуемые плагины;
• удалите nulled-шаблоны и сомнительные расширения;
• смените пароли администраторов;
• проверьте доступы FTP, SFTP, SSH и хостинга;
• включите 2FA для админов, если возможно.

5. Настройте правильные ответы для мусорных URL

Если чужие страницы удалены, они должны отдавать корректный ответ. Для мусорных URL обычно подходят 404 или 410. Не нужно редиректить тысячи спам-страниц на главную — это может запутать поисковик и не решит проблему качества.

• если URL больше не существует — 404;
• если URL точно мусорный и удалён навсегда — 410;
• если URL был дублем нормальной страницы — 301 на релевантную страницу;
• если URL с вредоносным контентом — удалить контент и закрыть источник генерации;
• если URL в sitemap — убрать из sitemap.

6. Обновите sitemap и отправьте его в Search Console

После очистки sitemap должен содержать только нормальные страницы сайта. Если в sitemap остались чужие URL, Google может продолжать их обходить.

• обновите sitemap;
• проверьте его вручную;
• уберите мусорные URL;
• отправьте sitemap в Google Search Console;
• проверьте, что Search Console видит новый sitemap;
• запросите переобход важных страниц.

7. Удалите мусорные URL из Google

Если чужие страницы уже попали в индекс, после очистки они не исчезнут мгновенно. Google должен переобойти сайт и увидеть, что URL удалены или возвращают 404/410.

Для ускорения можно использовать инструмент Removals в Google Search Console. Но это не заменяет очистку сайта. Если URL всё ещё отдают 200 OK или снова появляются в sitemap, проблема вернётся.

Код

Важно: команды и SQL-запросы ниже предназначены для диагностики. Перед любыми действиями сделайте backup файлов и базы данных. Не удаляйте строки из базы и файлы на рабочем сайте, если не уверены, что они вредоносные.

Проверить URL сайта в WordPress

Куда выполнять: SSH в корне сайта через WP-CLI.

wp option get siteurl
wp option get home

Проверить пользователей-администраторов

wp user list --role=administrator

Проверить список активных плагинов

wp plugin list --status=active

Проверить целостность ядра WordPress

Команда показывает изменённые или лишние файлы ядра WordPress. Она не проверяет тему, плагины и uploads.

wp core verify-checksums

Найти PHP-файлы в uploads

В норме в uploads обычно не должно быть исполняемых PHP-файлов. Но перед удалением проверьте каждый найденный файл.

find wp-content/uploads -type f ( -name "*.php" -o -name "*.phtml" -o -name "*.phar" )

Найти подозрительные конструкции в PHP-файлах

Команда может дать ложные срабатывания. Используйте её как подсказку, а не как автоматическую очистку.

grep -RIn --include="*.php" "base64_decode|gzinflate|eval|shell_exec|assert|str_rot13" wp-content

Поиск спама в wp_posts

Куда выполнять: phpMyAdmin, Adminer или MySQL CLI. Замените wp_ на свой префикс таблиц, если он отличается.

SELECT ID, post_title, post_name, post_status, post_type
FROM wp_posts
WHERE post_title LIKE '%casino%'
   OR post_title LIKE '%viagra%'
   OR post_title LIKE '%pharma%'
   OR post_content LIKE '%casino%'
   OR post_content LIKE '%viagra%'
   OR post_content LIKE '%pharma%'
LIMIT 50;

Поиск спама в wp_postmeta

SELECT post_id, meta_key, meta_value
FROM wp_postmeta
WHERE meta_value LIKE '%casino%'
   OR meta_value LIKE '%viagra%'
   OR meta_value LIKE '%pharma%'
LIMIT 50;

Поиск подозрительных siteurl/home

SELECT option_name, option_value
FROM wp_options
WHERE option_name IN ('siteurl', 'home');

Отдать 410 для конкретного мусорного раздела через .htaccess

Важно: используйте только если уверены, что этот раздел полностью мусорный и не содержит нормальных страниц. Перед изменением сохраните старый .htaccess.

RedirectMatch 410 ^/spam-folder/.*$

Результат

После правильной очистки чужие страницы должны перестать открываться, исчезнуть из sitemap, перестать появляться в Search Console как новые URL и постепенно уйти из индекса Google.

Хороший результат выглядит так:

• чужие URL больше не отдают 200 OK;
• sitemap содержит только нормальные страницы;
• в Search Console нет новых подозрительных URL;
• в базе не найден спам-контент;
• в uploads нет вредоносных PHP-файлов;
• нет неизвестных администраторов;
• файлы ядра WordPress проходят проверку;
• сайт не редиректит на чужие домены;
• Google постепенно удаляет мусорные страницы из выдачи;
• после очистки сделан новый backup.

Дополнительные способы

Использовать Search Console Removals

Инструмент удаления URL помогает временно скрыть мусорные страницы из поиска. Но он не чистит сайт. Если источник спама остаётся, URL могут вернуться.

Использовать 410 Gone для массового мусора

Если спам-URL имеют общий путь, например /cheap-products/ или /cache/spam/, можно вернуть для них 410. Это даёт поисковику более явный сигнал, что страницы удалены навсегда.

Проверить server access logs

В логах сервера можно увидеть, кто обращался к мусорным URL, какие боты их обходят и какие файлы вызываются. Это помогает найти генератор страниц или подозрительный endpoint.

Сравнить файлы с чистой копией

Если есть старый backup до заражения, сравните wp-content, тему, плагины и корневые файлы. Это помогает найти изменённые файлы.

Проверить cron-задачи

Некоторые вредоносные скрипты восстанавливают себя через cron. Проверьте WordPress cron и серверный cron, если есть доступ.

wp cron event list

Частые ошибки

Удалять URL только из Google

Если сайт всё ещё генерирует чужие страницы, удаление из Google не решит проблему. Сначала нужно убрать источник спама.

Редиректить весь мусор на главную

Для чужих спам-страниц это плохая идея. Обычно лучше 404 или 410, если страницы точно не нужны.

Чистить только файлы и не проверять базу

SEO-спам может храниться в wp_posts, wp_postmeta, wp_options, виджетах, меню, Gutenberg-блоках или настройках темы.

Доверять только одному сканеру

Сканер может показать “чисто”, но backdoor останется. Нужна ручная проверка файлов, базы, пользователей, sitemap и логов.

Оставлять старые пароли

После очистки нужно сменить пароли WordPress, хостинга, FTP/SFTP, базы данных и API-ключи, если есть риск компрометации.

Не проверять sitemap

Если мусорные URL остались в sitemap, Google может продолжать их находить даже после частичной очистки.

Удалять всё без backup

При чистке можно случайно удалить рабочие данные, товары, страницы, настройки темы или плагинов. Backup перед очисткой обязателен.

Диагностика проблем

Проблема: чужие страницы есть в Google, но на сайте они уже 404

Возможная причина: сайт уже очищен, но Google ещё не переобошёл URL.

Что делать: обновить sitemap, отправить его в Search Console, использовать Removals для срочного скрытия и дождаться переобхода.

Проблема: чужие страницы открываются со статусом 200

Возможная причина: спам ещё генерируется сайтом.

Что делать: проверить файлы, базу, .htaccess, тему, плагины, sitemap, cron и пользователей.

Проблема: чужие страницы появляются снова после удаления

Возможная причина: остался backdoor, cron-задача или заражённый плагин.

Что делать: проверить uploads, mu-plugins, wp-cron, server cron, admin users, недавно изменённые файлы.

Проблема: в Search Console много URL “Обнаружено, не проиндексировано”

Возможная причина: Google нашёл мусорные URL, но не все проиндексировал.

Что делать: убрать источник URL, обновить sitemap, проверить внутренние и внешние ссылки, вернуть 404/410 для мусора.

Проблема: сайт выглядит нормально, но Google показывает спам

Возможная причина: cloaking или спам, который показывается только ботам.

Что делать: проверить URL как Googlebot, server logs, кеш, вредоносный код и разные user-agent.

Проблема: Google пишет, что сайт опасен

Возможная причина: обнаружены вредоносные скрипты, фишинг, редиректы или загрузки.

Что делать: очистить сайт, закрыть уязвимость, проверить Search Console и запросить пересмотр после исправления.

Проблема: мусорные URL есть в sitemap

Возможная причина: заражён sitemap, SEO-плагин, база или генератор страниц.

Что делать: отключить источник генерации, очистить sitemap, пересоздать карту сайта и отправить её в Search Console.

Краткие AI-friendly ответы

Почему на сайте WordPress появились чужие страницы в Google?

Чаще всего из-за взлома, SEO-спама, скрытого генератора страниц, заражённой базы данных, подменённого sitemap, вредоносного кода или backdoor-файла.

Что делать первым?

Сделать backup, проверить Search Console, найти примеры чужих URL, посмотреть sitemap, проверить файлы, базу, пользователей, .htaccess и debug.log.

Как убрать чужие страницы из Google?

Сначала удалить источник спама на сайте, затем настроить 404 или 410 для мусорных URL, обновить sitemap, отправить его в Search Console и использовать Removals при необходимости.

Можно ли просто удалить URL в Search Console?

Нет. Это временно скрывает URL, но не очищает сайт. Если вредоносный код остался, Google снова найдёт чужие страницы.

FAQ

Почему Google показывает страницы, которых нет в WordPress?

Они могут генерироваться не как обычные записи, а через вредоносный PHP-код, .htaccess, базу данных, sitemap, скрытый плагин или backdoor.

Чужие страницы в Google — это точно взлом?

Не всегда, но очень часто. Иногда это результат неправильного sitemap, тестовых страниц или старых URL. Но если заголовки чужие, спамные или на другом языке, нужно проверять сайт как потенциально взломанный.

Нужно ли удалять все спам-страницы вручную?

Если их мало и они реальные записи — можно удалить. Если их сотни или тысячи, нужно искать генератор. Ручное удаление не поможет, если источник остаётся активным.

Что лучше для мусорных URL: 404 или 410?

Если URL просто не существует — 404 нормально. Если URL точно спамный и удалён навсегда, можно использовать 410. Главное — не отдавать 200 OK для мусорных страниц.

Сколько времени Google удаляет чужие страницы из поиска?

Срок зависит от переобхода сайта, количества URL, sitemap, статусов 404/410 и использования Search Console. Даже после очистки мусор может оставаться в выдаче некоторое время.

Почему после восстановления backup чужие страницы всё ещё в Google?

Google уже успел их проиндексировать. Если сейчас URL отдают 404 или 410, они исчезнут после переобхода. Но нужно проверить, что спам не остался в базе или sitemap.

Может ли Cloudflare быть причиной чужих страниц?

Обычно нет. Но CDN может временно кешировать старый спам-контент. После очистки сайта нужно очистить кеш Cloudflare или другого CDN.

Как понять, что сайт полностью очищен?

Проверьте файлы, базу, пользователей, sitemap, Search Console, server logs, wp-cron, uploads, mu-plugins и ответы подозрительных URL. После этого сделайте новый backup.

Нужно ли менять пароли после такой проблемы?

Да. Нужно сменить пароли администраторов WordPress, хостинга, FTP/SFTP, базы данных и по возможности включить двухфакторную авторизацию.

Когда обращаться к специалисту?

Если чужих страниц много, сайт приносит заявки, есть подозрение на взлом, Google пометил сайт как опасный, спам возвращается после удаления или нет свежего backup, лучше не чистить сайт наугад.

Вывод

Если на сайте WordPress появились чужие страницы в Google, проблема почти всегда глубже, чем просто “лишние URL в поиске”. Нужно найти источник: вредоносный код, базу данных, sitemap, .htaccess, тему, плагин, backdoor или cron-задачу.

Правильный порядок такой: backup, диагностика, очистка файлов и базы, закрытие уязвимости, проверка sitemap, настройка 404/410 для мусора, отправка чистого sitemap в Search Console и удаление спам-URL из поиска.

Самое опасное — удалить только URL из Google и оставить заражение на сайте. Тогда чужие страницы появятся снова. Самое правильное — сначала очистить WordPress, потом восстанавливать SEO и доверие к домену.