ワードプレスでお問い合わせを作る時、Contact Form 7(コンタクトフォーム7)を使用している人は多いです。
Contact Form 7は多少設定が複雑ですが、無料で問合せフォームを作れるので、とても便利なプラグインですよね。
しかし、Contact Form 7 5.3.1とそれより古いバージョンに、ファイルを無限にアップロードしてしまうという脆弱性が見つかりました。
Contact Form 7 5.3.2以降は修正されたようですが、こういう現象はイタチごっこのようなものなので、またいつ脆弱性が見つかるかわかりません。
もし、Contact Form 7のセキュリティを強化していないと、bot(ボット)によりサイトがコンピュータウイルスに感染したり、スパムメールが飛んできたりしてしまいます。
そこで今回は、Contact Form 7をbotから守ってくれる無料プラグイン、「Honeypot for Contact Form 7」の設定方法について解説します。
- WordPressのテーマによっては、今回お勧めするプラグインが合わない場合があります。設定の際は、バックアップを取ると主に、自己責任でお願いいたします。
- Honeypot for Contact Form 7の設定方法については中盤以降で説明しています。「Honeypot for Contact Form 7とは何か」の説明を必要とせず、設定方法だけ知りたい場合は、こちらをクリックしてください。
お問合せのセキュリティを強化するツール
Honeypot for Contact Form 7とは?
Honeypot for Contact Form 7とは、Contact Form 7のプラグインを使用している場合に、スパムボットからお問合せのページを守ってくれる無料プラグインです。
簡単に言うと、問い合わせフォームに目に見えない罠を仕掛けて、スパムボットを捕まえるプラグインです。
大半のbotは、広範囲に自動的に送信され、数秒でフォームを入力して送るような設定となっています。
私達のような人間が問い合わせフォームからメールを送ろうとする場合、普通は数分、早くて数十秒はかかるはずです。
その違いを感知してスパムメールを防いでくれるのが、Honeypot for Contact Form 7です。
しかも、Honeypot for Contact Form 7はContact Form 7のテキストの内部にコードを埋め込むもので、問い合わせフォームのフィールドに罠が仕掛けてあることが見えません。
botを識別して捕まえつつ、私達が問い合わせフォームを入力する時は全く邪魔にならない便利なスパム対策プラグインなんです。
Honeypot for Contact Form 7以外のツール
Contact Form 7のセキュリティ対策として、無料プラグインのInvisible reCaptchaやGoogleのreCAPTCHA v3などを設定する方法が有名です。
もしかするとあなたは、
「reCAPTCHA v3を設定しているから大丈夫でしょ。」
と思っているかもしれませんが、残念ながら100%防げるようなものではありません。
かくゆう私も、お問合せの作成にWPForms Liteを使っていた時、reCAPTCHA v3のみ設定していました。
しかしなんと、スパムメールが飛んできたんですよね。
WPForms Liteだと、それ専用のセキュリティ対策プラグインが少なかったり、グレードアップして有料にしないとセキュリティが強化できなかったりするので、今ではContact Form 7を使用しています。
なお、reCAPTCHA v3の設定については、こちらで解説していますので、設定がまだの場合は、合わせて行っておきましょう。
Invisible reCaptchaは文字列を表示させるので、自動入力するスパムボットに対しては有効です。
一方で、私達人間がフォームに入力する時、いちいち文字列を入力するのはとても面倒に感じます。
しかも、文字列を誤って入力してしまうと、もう一度入力しないといけないのでストレスになることも。
もちろん、Invisible reCaptchaを設定していた方がセキュリティは向上するので、今設定しているのであれば、わざわざ解除する必要はありません。
Honeypot for Contact Form 7と併用することで、より強固にbotからサイトを守ることができるでしょう。
Honeypot for Contact Form 7の設定方法
では、Honeypot for Contact Form 7の設定方法について図で解説していきます。
なお、既にContact Form 7は設定しているという前提で話を進めていきますので、Contact Form 7の設定がまだの場合は、そちらを先に行ってください。
手順1:Honeypot for Contact Form 7をインストール&有効化する
プラグイン>新規追加からHoneypot for Contact Form 7を検索し、Honeypot for Contact Form 7をインストールした後、有効化を忘れずに行ってください。
手順2:該当のお問い合わせフォームを選択する
お問い合わせ>コンタクトフォームをクリックし、設定しているお問い合わせフォームを選択してください。
手順3:「ハニーポット」をクリックする
Honeypot for Contact Form 7を有効化していると、お問い合わせフォームの中に「ハニーポット」が表示されるので、そちらをクリックしてください。
手順4:「名前」を修正して「挿入タグ」をクリックする
ここでは、名前の修正だけでOKです。
ただ一点、注意しないといけないことがあり、初期に表示されている「Honeypot」をそのまま使用してはいけません。
他の半角英数字を使用してください。
「挿入タグ」をクリックすると、テキストに挿入するタグがコピーされます。
手順5:テキストにタグをペーストして保存する
先程コピーした挿入タグを、問い合わせフォームのテキストへ貼り付けます。
場所は、送信ボタンの上辺りが良いでしょう。
保存ボタンを忘れずにクリックしてください。
以上で設定は終わりです。
お問い合わせのページを確認してみると、私達の目では、罠が設置されていることはわかりません。
しかし、確かにソースコードは入力されているので、これでセキュリティ強化完了です。
まとめ
悪質な悪さをするbotは日々進化しているので、厳重にセキュリティ対策することに越したことはないですよね。
最初、GoogleのreCAPTCHA v3だけで大丈夫だと思っていたんですが、スパムメールが飛んできた時はびっくりしました。
イタチごっこのようなものなので、reCAPTCHA v3をかいくぐってきたんでしょう。
ただ、何も対策しないわけにはいかないので、私は、reCAPTCHA v3、Invisible reCaptcha、そしてHoneypot for Contact Form 7の3つを設定してスパム対策を行っています。
Honeypot for Contact Form 7の設定は比較的簡単ですし、私達がフォームを入力する際には全く邪魔にならないので、ぜひ設定しておきましょう。
【図解】Honeypot for Contact Form 7で問合せフォームのセキュリティを強化する手順 まとめ
- GoogleのreCAPTCHA v3
- 無料プラグインInvisible reCaptcha
- 無料プラグインHoneypot for Contact Form 7
- Honeypot for Contact Form 7をインストール&有効化する
- 該当のお問い合わせフォームを選択する
- 「ハニーポット」をクリックする
- 「名前」をHoneypot以外の半角英数字で修正して「挿入タグ」をクリックする
- テキストの送信ボタンの上にタグをペーストして保存する