【簡単】Contact Form 7でセキュリティ対策する方法は？

Contact Form 7を活用してWordPressにお問い合わせフォームを設置している方の中には「しっかりとセキュリティ対策をしたい」と考えている方も多いと思います。

脆弱なセキュリティのまま放置してしまうと、データベースへの不正アクセスや情報漏洩・改ざんなど多くのリスクがある中でWebサイトを運営しなくてはなりません。

本記事ではContact Form 7 を利用している方向けにセキュリティ対策をする方法を解説しますので、ぜひ参考にしてみてください。

Contact Form 7 のセキュリティリスクは？
Contact Form 7 のセキュリティ対策をする方法3つ
フォームのセキュリティ対策3つのポイント
セキュリティ対策されたフォームを設置するなら「formrun（フォームラン）」もおすすめ
まとめ：フォームのセキュリティ対策をして信頼される運営を目指そう

Contact Form 7 のセキュリティリスクは？

Contact Form 7 をデフォルトのまま利用するだけでは、しっかりとセキュリティ対策されているとは言い難いです。これによって発生するもっとも恐ろしい事態は、データへ不正アクセスされて顧客情報が漏洩したり、データを改ざんされることでしょう。

お問い合わせフォームなどのフォームにおいて、利用者は氏名・住所・電話番号などの個人情報を入力して送付します。セキュリティ対策がされていない場合、サイバー攻撃を受けることによって個人情報が漏洩したり、データが改ざんされるリスクがあります。

情報漏洩やデータ改ざんが発生すると業務は停止し、損害賠償やデータ修復に多額の費用を投じる必要があります。そしてなにより顧客からの信用を失う恐れがあるため、以降のビジネスへも大きな影響を及ぼすといえるでしょう。

上記を防ぐためには、フォームのセキュリティ対策が重要です。Contact Form 7 でセキュリティ対策をする方法は、「プラグインの導入」や「WordPressにおけるコメント禁止キーワードの設定」が挙げられます。

Contact Form 7 のセキュリティ対策をする方法3つ

Contact Form 7 のセキュリティ対策をするためには、以下のプラグイン導入やWordPressの設定をしましょう。あなたのWebサイトを不正アクセスやスパムメールから守るために必要な施策となりますので、ぜひ参考にしてください。

プラグイン「Invisible reCAPTCHA（リキャプチャ） for WordPress」の導入

https://ja.wordpress.org/plugins/invisible-recaptcha/

reCAPTCHAとは、Googleが提供する無料で導入可能なスパム攻撃対策です。WordPressにには「Invisible reCAPTCHA for WordPress」というプラグインをインストールすることで簡単に導入することができます。Contact Form 7などのWebフォームに対して発生する不正アクセスからWebサイトを守ることが可能となるため、必ず導入しておきましょう。

たとえば、reCAPTCHAでは以下のようなボタンを配置することによって、アクセスしようとしているのが人かロボットかを判断します。

これによって、botから送られるスパムメールを対策することができます。スパムメールによる攻撃の目的は、「ウイルスに感染させる」「個人情報の抜き取り」「いやがらせ」など様々で、これらをまとめて対策できるおすすめプラグインといえるでしょう。

プラグイン「Akismet（アキスメット）」の導入

https://ja.wordpress.org/plugins/akismet/

Akismetとは、Contact Form 7 などのフォームに届くスパムメールを自動的に専用のスパムフォルダに振り分けてくれるツールです。届いたスパムメールをひとつずつ振り分けて削除する手間をなくすことができるため、効率的にWebサイトを運営することができます。

また、AkismetはWordPressにはじめから導入されているプラグインであることもポイントです。利用するためには無料登録をする必要がありますが、WordPressの運営会社が公式で認めているスパムメール対策プラグインということもあり、安心して利用することができます。

WordPressの「コメント内で許可されないキーワード」を設定する

上記のプラグイン2つによってほとんどの不正アクセスやスパムメールを防ぎ、セキュリティ対策をすることが可能です。しかし、Webサイトにアクセスが集まってくると、上記のプラグインを潜り抜けて届くスパムメールが現れます。このようなスパムメールはWordPressの「コメント内で許可されないキーワード」を設定して対処しましょう。

設定方法は簡単で、WordPress管理画面の「設定」→「ディスカッション」へ移動した後、「コメント内で許可されないキーワード」の欄にスパムメールによく含まれる語句を入力するだけです。

注意点としては、禁止するキーワードが短すぎると通常のコメントをスパムと間違えて判断してしまう点です。そのため、禁止するキーワードはスパムメールでよく見る「単語」ではなく、「文章」にすることによって通常のコメントが届くよう設定しましょう。

フォームのセキュリティ対策3つのポイント

ここではフォームのセキュリティ対策のポイントを3つご紹介します。Contact Form 7 では満たしていないポイントもあるため、「他のツールも検討したい」と考えている方は参考にしてください。

通信データの暗号化（SSL化）

通信データの暗号化をすることによって、個人情報の漏洩やデータの改ざんを防ぐことができます。情報の漏洩・改ざんはフォームから送信されたデータがサーバーにたどり着くまでの通信経路上で発生するため、暗号化によって第三者が盗み見れない状態を作ることが可能です。

この暗号化にはSSL（Secure Sockets Layer）という技術が用いられています。フォームだけでなくサイト全体をSSL化することで安全性が増すため、ぜひ検討してみてください。

アクセス制御

WordPressでWebサイトを運営している場合、WordPress管理画面に不正ログインされ、情報が漏洩・改ざんされる恐れがあります。また、もしContact Form 7 以外のクラウド型フォーム作成ツールを利用している場合は、ツールの管理画面も同様のリスクがあります。

そのため、アクセスできるユーザー権限を適切に設定することが重要です。データ編集できるユーザーと閲覧のみのユーザーを区別できるフォーム作成ツールが理想といえます。

その他にも管理画面への二段階認証などのセキュリティ対策を採用することも有効です。WordPressの場合は「Two-Factor」などのプラグインを導入することによって簡単に設定できるため、ぜひ導入を検討してみてください。

スパムメール対策

アクセスが集まるにつれて大量のスパムメールが届くようになります。スパムメールはbotによって自動的に大量送信されており、「ウイルスに感染させる」「個人情報の抜き取り」など様々な目的があるため対策が必要です。

具体的には以下のような対策が考えられます。

・アクセス元のドメイン・IP制限
・テキストや画像によるキャプチャ認証
・フォームに確認画面や必須項目を設置

ちなみに、本記事でご紹介したプラグイン「Invisible reCAPTCHA for WordPress」はキャプチャ認証を可能とするプラグインです。Contact Form 7 ではフォームの確認画面・必須項目を設置するためにHTMLやCSSの知識が必要となるため、より簡単にフォームのセキュリティ対策をしたいと考えている場合は、他のフォーム作成ツールを検討しましょう。

フォームのスパム対策については、以下の記事に詳しく方法が載っているので、こちらも参考にしてみてください。

お問い合わせフォームのスパム対策で行うべきことは？

セキュリティ対策されたフォームを設置するなら「formrun（フォームラン）」もおすすめ

無料でformrunに登録する

formrunは弊社が提供するフォーム作成ツールです。以下のようなセキュリティ対策が搭載されているため、安心して利用することが可能となっています。

・SSL/TLSによる通信暗号化
・データセンター「AWS」採用による高度なセキュリティ体制
・Pマーク、ISO27001の取得
・24時間365日のサーバー監視体制

専門的でよく分からない単語もあるかと思いますので、詳しくは以下の記事を参考にしてください。セキュリティ対策で注意すべきポイントが5分で分かります。

メールフォームのセキュリティリスクと対策まとめ｜5つのポイントを詳しく解説

また、formrunでは40種以上のテンプレートからデザイン性のフォームを作成し、顧客情報の分析・管理をすることも可能です。設置の簡単さはContact Form 7 に軍配があがりますが、フォームを本格的に運用してたくさんのお問い合わせを集めたいと考えている方にぴったりのフォーム作成ツールといえるでしょう。

formrunの詳細については、以下の記事で解説しています。