問い合わせフォーム「Contact Form 7」によるスパムメール・迷惑メール対策
昨今、Webサイト上の問い合わせフォームを悪用したスパムメールの被害が急増しております。
弊社でも、WordPressプラグイン「Contact Form 7」におきまして、お客様が作成されたフォームに関連するスパム攻撃の増加しております。
具体的には、「Contact Form 7」を利用したフォームが不正アクセスによってスパムメールが送信される事例があります。
その結果、メール送信数の制限がかかり、必要なメールの送信が制約される可能性があります。
必要なメールをきちんと届けるためにも問い合わせフォームを設置されているみなさまは、スパム対策を行うことをおすすめいたします。ぜひご参照ください。
問い合わせフォームを悪用したスパムメール・迷惑メールの概要
Webサイトに設置している問い合わせフォームを使ってスパムメールが送られてくる現象が、多発しています。
スパム行為の手法
問い合わせフォームへの入力や送信を自動的に行うプログラムがあり、それを使って行われることが多いです。
WordPressで「Contact Form 7」のプラグインを用いて問い合わせフォームを設置しているサイトに、特に多く見られます。
しかし、他の問い合わせフォームであっても同じ手法を使うことは可能なため、対策は必要となります。
スパム行為の種類
スパム行為は主に2種類見られます。
自動返信機能を悪用したスパム・迷惑メールの大量配信
問い合わせ主のメールアドレス欄に他人のアドレスを入力することで、自動返信によってスパムメールを送りつける行為です。
運営者へスパムメールを送るという手法
問い合わせ内容がWebサイト運営者のEメールアドレスへ送られる仕組みを使って、サイト運営者へスパムメールを送るという手法もあります。
スパム行為を放置した場合の影響
「自動返信機能を悪用したスパム・迷惑メールの大量配信」のスパム行為を放置した場合の影響が、特に大きくなります。問題は以下の2つです。
- 不特定多数への迷惑メールの発信元アドレスとして使われてしまうことがある
- ドメインの不正利用と判断され、自分のサイトのドメインの評価が下がることもある
このような問題が起こり得るため、スパム対策を行うことが必要となります。
「Contact Form 7」スパムメール・迷惑メール対策
reCAPTCHA (v3)の有効化
最も効果の高い対策の1つが、reCAPTCHA (v3)を有効にすることです。reCAPTCHAとは、無料で使えるGoogleのサービスで、Webサイトを保護するためのセキュリティ機能です。
「Contact Form 7」以外のプラグインや、PHPやPerlなどで問い合わせフォームを設置している場合にも有効な対策です。また、問い合わせフォーム以外に、ログイン時のセキュリティにも使えます。
設定や登録は、reCAPTCHAの公式サイトから行えます。
「Contact Form 7」をご利用の方は、下記よりreCAPTCHAの導入手順をご確認いただけます。
・reCAPTCHA(v3)
https://contactform7.com/recaptcha/
.htaccessで国外IPアドレスからのアクセスを制限
2つ目の対策は、.htaccessファイルに記述を加えることによって、IPアドレスの制限をかける方法です。
弊社のサービスを例に記述方法をご紹介します。
SetEnvIf MM_COUNTRY_CODE JP AllowCountry
order deny,allow
deny from all
allow from env=AllowCountry
SetEnvIf GEOIP_COUNTRY_CODE JP AllowCountry
Deny from all
Allow from env=AllowCountry
注意点として、.htaccessファイルはWordPressのルートディレクトリに設置するのが無難です。ルートディレクトリ以外の場合、複数のファイルを設置する必要があったり、思わぬエラーになったりする可能性もあります。
また、IP判定にも漏れがあるため、個別にIP制限をかけるのはあまり推奨できません。
個別に制限をかけるよりは「reCAPTCHA」の対策を行うことをおすすめします。
まとめ
WordPressのサイトで多発しているスパムメールの概要と対策をお伝えしました。
本記事で紹介したスパムは脆弱性によるものではなく、問い合わせフォームの機能を使う行為であるため、まずは対策をしていただくことが大切です。
その他、WordPressやプラグインのバージョンは常に最新の状態へ更新していただくよう、お願いいたします。
ドメインが実質0円(年間最大3,882円お得)になるサーバーセット割特典を展開中です。
最新のキャンペーンはこちらから
GMOデジロック インフラエンジニア
データセンター周りから運用まで担当しております。営業職からエンジニアに転職して15年。趣味は自然に触れる事と音楽鑑賞。
▽登壇実績
https://cloud.watch.impress.co.jp/docs/event/1080198.html