問い合わせフォーム「Contact Form 7」によるスパムメール・迷惑メール対策のお願い
昨今、Webサイト上の問い合わせフォームを悪用したスパムメールの被害が急増しております。
問い合わせフォームを設置されているみなさまには、スパム対策を行っていただきたく、その概略をお知らせいたします。ぜひご参照ください。
問い合わせフォームを悪用したスパムメール・迷惑メールの概要
Webサイトに設置している問い合わせフォームを使ってスパムメールが送られてくる現象が、多発しています。
スパム行為の手法
問い合わせフォームへの入力や送信を自動的に行うプログラムがあり、それを使って行われることが多いです。
WordPressで「Contact Form 7」のプラグインを用いて問い合わせフォームを設置しているサイトに、特に多く見られます。
しかし、他の問い合わせフォームであっても同じ手法を使うことは可能なため、対策は必要となります。
スパム行為の種類
スパム行為は主に2種類見られます。
①自動返信機能を悪用したスパム・迷惑メールの大量配信
問い合わせ主のメールアドレス欄に他人のアドレスを入力することで、自動返信によってスパムメールを送りつける行為です。
②運営者へスパムメールを送るという手法
問い合わせ内容がWebサイト運営者のEメールアドレスへ送られる仕組みを使って、サイト運営者へスパムメールを送るという手法もあります。
スパム行為を放置した場合の影響
先ほどの①のスパム行為を放置した場合の影響が、特に大きくなります。問題は以下の2つです。
- 不特定多数への迷惑メールの発信元アドレスとして使われてしまうことがある
- ドメインの不正利用と判断され、自分のサイトのドメインの評価が下がることもある
このような問題が起こり得るため、スパム対策を行うことが必要となります。
【対策1】reCAPTCHA (v3)の有効化
最も効果の高い対策の1つが、reCAPTCHA (v3)を有効にすることです。reCAPTCHAとは、無料で使えるGoogleのサービスで、Webサイトを保護するためのセキュリティ機能です。
「Contact Form 7」以外のプラグインや、PHPやPerlなどで問い合わせフォームを設置している場合にも有効な対策です。また、問い合わせフォーム以外に、ログイン時のセキュリティにも使えます。
設定や登録は、reCAPTCHAの公式サイトから行えます。
【対策2】.htaccessで国外IPアドレスからのアクセスを制限
2つ目の対策は、.htaccessファイルに記述を加えることによって、IPアドレスの制限をかける方法です。
たとえば、以下のような記述を行います。
SetEnvIf MM_COUNTRY_CODE JP AllowCountry
order deny,allow
deny from all
allow from env=AllowCountry
注意点として、.htaccessファイルはWordPressのルートディレクトリに設置するのが無難です。ルートディレクトリ以外の場合、複数のファイルを設置する必要があったり、思わぬエラーになったりする可能性もあります。
また、IP判定にも漏れがあるため、個別にIP制限をかけるのはあまり推奨できません。
個別に制限をかけるよりは「1.reCAPTCHA」の対策を行うことをおすすめします。
まとめ
WordPressのサイトで多発しているスパムメールの概要と対策をお伝えしました。
本記事で紹介したスパムは脆弱性によるものではなく、問い合わせフォームの機能を使う行為であるため、まずは対策をしていただくことが大切です。
その他、WordPressやプラグインのバージョンは常に最新の状態へ更新していただくよう、お願いいたします。
