WordPressにおける問合せフォーム(コンタクトフォーム)の自動返信機能を悪用した迷惑メール対策についてまとめました。
問合せフォームの自動返信機能
WordPressでは、「Contactform7」など問合せフォーム(コンタクトフォーム)を実装するためのプラグインがあります。
自動返信機能とは、ユーザーが問合せフォームに「メールアドレス」と「問合せ内容」を投稿すると、ユーザーに受付完了メールを自動で送信する機能です。
(一般的に受付完了メールの本文には、投稿した問合せ内容も記載されます)
この自動返信機能は、以下のようにスパムメール送信に悪用されることがあります。
①攻撃者が問合せフォームに「攻撃対象のメールアドレス」と「スパムメールの内容(例えば、「フィッシングサイトに誘導する文章」)」を送信。
②攻撃対象のメールアドレス宛に「受付完了メール(スパムメールの内容入り)」が届く。
このように「問合せフォーム」を設置しているサイト運営者は、知らない間にスパムメールの加害者となってしまう恐れがあるため、悪用を防ぐ対策が重要です。
対策①自動返信機能を無効化
根本的な対策としては「お問合せフォームの自動返信機能を無効化」するっことが挙げられます。
「Contactform7」など主要なプラグインだと無効化機能があります。
対策②認証機能(reCAPTCHAなど)の導入
お問合せフォームの自動返信機能は残したいという場合、認証機能(reCAPTCHAなど)の導入による対策も有効です。
reCAPTCHAはGoogle社が提供するキャプチャ認証システムで、問合せ内容の送信時に画像認証を行って、機械的な自動送信を防ぎます。
対策③海外IPアドレスからのアクセスを制限
不正アクセスの多くは海外のIPアドレスからが多いため、「.htaccess」ファイル等で海外IPアドレスから問い合わせフォームへのアクセスを制限するのも有効な対策です。
参考文献
- 【注意喚起】サイトに設置いただいたお問合せフォームへの攻撃、悪用が多発しています
- 【注意喚起】メールフォーム(問い合わせフォーム)の仕様を悪用したスパムメール配信行為への注意喚起、ならびに対策のお願い
–今、お問い合わせフォーム(メールフォーム)が危ない! 不正アクセスの増加と対処方法
関連ページ
WordPressのセキュリティ対策超入門
WordPressのセキュリティ対策について入門者向けに解説します。
wordpress.joho.info
2024.06.29
コメント