Voy a responder la segunda pregunta.
Me preguntaba si hay una manera rápida que no sea eliminar manualmente estas URL de las herramientas para webmasters de Google.
https://developers.google.com/webmasters/hacked/docs/clean_site
Google declara explícitamente que la eliminación a través de Google Search Console (el nuevo nombre de las herramientas para webmasters) es la más rápida.
Si el hacker creó URL completamente nuevas y visibles para el usuario, puede eliminar estas páginas más rápidamente de los resultados de búsqueda de Google utilizando la función Eliminar URL en Search Console. Este es un paso completamente opcional. Si simplemente elimina las páginas y luego configura su servidor para que devuelva un código de estado 404, las páginas se caerán naturalmente del índice de Google con el tiempo.
Pero también entienden que esto no es factible en algunos casos:
La decisión de usar la eliminación de URL probablemente dependerá de la cantidad de páginas nuevas no deseadas creadas (demasiadas páginas pueden ser engorrosas para incluir en Eliminar URL), así como del daño potencial que estas páginas podrían causar a los usuarios. Para evitar que las páginas enviadas a través de la eliminación de URL aparezcan en los resultados de búsqueda, asegúrese de que las páginas también estén configuradas para devolver una respuesta de Archivo 404 no encontrado para las URL no deseadas / eliminadas.
Entonces, si bien puede bloquear estas páginas en robots.txt, no está tomando ninguno de los pasos correctivos explicados por Google.
+
(más) en la ruta URL, es solo un carácter como cualquier otro.