【WordPress】問合せフォームの自動返信機能を悪用した迷惑メール対策

WordPressにおける問合せフォーム(コンタクトフォーム)の自動返信機能を悪用した迷惑メール対策についてまとめました。

問合せフォームの自動返信機能

WordPressでは、「Contactform7」など問合せフォーム(コンタクトフォーム)を実装するためのプラグインがあります。
自動返信機能とは、ユーザーが問合せフォームに「メールアドレス」と「問合せ内容」を投稿すると、ユーザーに受付完了メールを自動で送信する機能です。
(一般的に受付完了メールの本文には、投稿した問合せ内容も記載されます)

この自動返信機能は、以下のようにスパムメール送信に悪用されることがあります。

①攻撃者が問合せフォームに「攻撃対象のメールアドレス」と「スパムメールの内容(例えば、「フィッシングサイトに誘導する文章」)」を送信。
②攻撃対象のメールアドレス宛に「受付完了メール(スパムメールの内容入り)」が届く。

このように「問合せフォーム」を設置しているサイト運営者は、知らない間にスパムメールの加害者となってしまう恐れがあるため、悪用を防ぐ対策が重要です。

対策①自動返信機能を無効化

根本的な対策としては「お問合せフォームの自動返信機能を無効化」するっことが挙げられます。
「Contactform7」など主要なプラグインだと無効化機能があります。

対策②認証機能(reCAPTCHAなど)の導入

お問合せフォームの自動返信機能は残したいという場合、認証機能(reCAPTCHAなど)の導入による対策も有効です。
reCAPTCHAはGoogle社が提供するキャプチャ認証システムで、問合せ内容の送信時に画像認証を行って、機械的な自動送信を防ぎます。

対策③海外IPアドレスからのアクセスを制限

不正アクセスの多くは海外のIPアドレスからが多いため、「.htaccess」ファイル等で海外IPアドレスから問い合わせフォームへのアクセスを制限するのも有効な対策です。

参考文献

関連ページ

WordPressのセキュリティ対策超入門
WordPressのセキュリティ対策について入門者向けに解説します。

コメント