【簡単】Contact Form 7でセキュリティ対策する方法は？

「Contact Form 7で作成したフォームのセキュリティ対策をしたい…」とお悩みではありませんか？

フォームを脆弱なセキュリティのまま放置してしまうと、データベースへの不正アクセスや情報漏洩・改ざんなど、多くのリスクがある中でWebサイトを運営しなくてはなりません。

本記事ではContact Form 7 を利用している方向けにセキュリティ対策をする方法を解説します。

▼セキュリティに強いフォームを作成したいならformrunがおすすめ！サーバー監視体制やSSL/TLSの採用など万全なセキュリティが整っています。WordPressへのフォーム設置も簡単
＞＞まずは無料でフォームを作ってみる

Contact Form 7 のセキュリティリスクは？
Contact Form 7 のセキュリティ対策をする方法3つ
フォームのセキュリティ対策3つのポイント
セキュリティ対策されたフォームを設置するなら「formrun（フォームラン）」もおすすめ
まとめ：フォームのセキュリティ対策をして信頼される運営を目指そう

Contact Form 7 のセキュリティリスクは？

お問い合わせフォームや申し込みフォームなど、フォームには氏名や住所、電話番号などの個人情報を入力して送付します。フォームのセキュリティ対策がされていない場合、個人情報が悪用されかねません。

悪意ある第三者から守るためにもセキュリティ対策は必須ですが、Contact Form 7 をデフォルトのまま利用していてはセキュリティ対策が不十分です。サイバー攻撃を受けてしまい、個人情報が漏洩したり、データを改ざんされてしまう危険性が高まります。

情報漏洩やデータ改ざんが発生すると業務は停止し、損害賠償やデータ修復に多額の費用を投じる必要があります。そしてなにより顧客からの信用を失う恐れがあるため、以降のビジネスへも大きな影響を及ぼしかねません。

セキュリティリスクを防ぐためにも、フォームのセキュリティ対策が重要です。

Contact Form 7 のセキュリティ対策をする方法3つ

Contact Form 7のセキュリティ対策はプラグインを導入する方法とWordPressからコメント禁止キーワードを設定することで可能です。

以下より、おすすめのプラグインと設定方法を紹介します。Webサイトを不正アクセスやスパムメールから守りましょう。

プラグイン「Invisible reCAPTCHA（リキャプチャ） for WordPress」の導入

https://ja.wordpress.org/plugins/invisible-recaptcha/

reCAPTCHAとは、Googleが提供する無料で導入可能なスパム攻撃対策です。WordPressには「Invisible reCAPTCHA for WordPress」というプラグインをインストールすることで簡単に導入できます。Contact Form 7などのWebフォームに対して発生する不正アクセスからWebサイトを守れるため、必ず導入しておきましょう。

たとえば、reCAPTCHAでは以下のようなボタンを配置することによって、アクセスしようとしているのが人かロボットかを判断します。

これによって、botから送られるスパムメールを対策できます。スパムメールによる攻撃の目的は、「ウイルスに感染させる」「個人情報の抜き取り」「いやがらせ」など様々で、これらをまとめて対策できるおすすめプラグインです。

プラグイン「Akismet（アキスメット）」の導入

https://ja.wordpress.org/plugins/akismet/

Akismetとは、Contact Form 7 などのフォームに届くスパムメールを、自動的に専用のスパムフォルダに振り分けてくれるツールです。届いたスパムメールをひとつずつ振り分けて削除する手間がなくなるため、効率的にWebサイトの運営ができます。

また、AkismetはWordPressにはじめから導入されているプラグインであることもポイントです。利用するためには無料登録をする必要がありますが、WordPressの運営会社が公式で認めているスパムメール対策プラグインということもあり、安心して利用できます。

WordPressの「コメント内で許可されないキーワード」を設定する

プラグインの導入でほとんどの不正アクセスやスパムメールの防止は可能ですが、それでも、プラグインを潜り抜けて届くスパムメールが現れます。このようなスパムメールはWordPressの「コメント内で許可されないキーワード」を設定して対処しましょう。

設定方法は簡単です。WordPress管理画面の「設定」→「ディスカッション」へ移動した後、「コメント内で許可されないキーワード」の欄にスパムメールによく含まれる語句を入力します。

禁止するキーワードはスパムメールでよく見る「単語」ではなく、「文章」にしてください。禁止するキーワードが短すぎると通常のコメントをスパムと間違えて判断してしまい、通常のコメントが届かなくなってしまいます。

▼formrunならすでにセキュリティ対策が万全に整っています！個人情報も安心して取り扱い可能。
＞＞まずは無料でフォームを作ってみる

フォームのセキュリティ対策3つのポイント

ここではフォームのセキュリティ対策のポイントを3つご紹介します。Contact Form 7 では満たしていないポイントもあるため、「他のツールも検討したい」と考えている方は参考にしてください。

通信データの暗号化（SSL化）

通信データを暗号化し、個人情報の漏洩やデータの改ざんを防止しましょう。情報の漏洩・改ざんはフォームから送信されたデータがサーバーにたどり着くまでの通信経路上で発生するため、暗号化によって第三者が盗み見れない状態を作ることが可能です。

この暗号化にはSSL（Secure Sockets Layer）という技術が用いられています。フォームだけでなくサイト全体をSSL化することで安全性が増すため、ぜひ検討してみてください。

アクセス制御

WordPressでWebサイトを運営している場合、WordPress管理画面に不正ログインされ、情報が漏洩・改ざんされる恐れがあります。また、もしContact Form 7 以外のクラウド型フォーム作成ツールを利用している場合は、ツールの管理画面も同様のリスクがあります。

そのため、アクセスできるユーザー権限を適切に設定しましょう。データ編集できるユーザーと閲覧のみのユーザーを区別できるフォーム作成ツールが理想です。

その他にも管理画面への二段階認証の採用も有効です。WordPressの場合は「Two-Factor」などのプラグインを導入することによって簡単に設定できます。

スパムメール対策

アクセスが集まるにつれて大量のスパムメールが届くようになります。スパムメールはbotによって自動的に大量送信されており、「ウイルスに感染させる」「個人情報の抜き取り」など悪質な目的があるため対策が必要です。

具体的には以下のような対策を施しましょう。

・アクセス元のドメイン・IP制限
・テキストや画像によるキャプチャ認証
・フォームに確認画面や必須項目を設置

キャプチャ認証はプラグインの「Invisible reCAPTCHA for WordPress」で設定可能です。

Contact Form 7 ではフォームの確認画面・必須項目を設置するためにHTMLやCSSの知識が必要です。より簡単にフォームのセキュリティ対策をしたいと考えている場合は、他のフォーム作成ツールを検討しましょう。

▼セキュリティを簡単に設置したいならformrun！専門的な知識がない初心者でも確認画面や必須項目などセキュリティ対策を施せます。
＞＞まずは無料でフォームを作ってみる

フォームのスパム対策については、以下の記事に詳しく方法が載っているので、こちらも参考にしてみてください。

メールフォームのスパム対策とは？即日できる迷惑メールを防ぐ方法

セキュリティ対策されたフォームを設置するなら「formrun（フォームラン）」もおすすめ

無料でformrunに登録する

formrunは弊社が提供するフォーム作成ツールです。以下のようなセキュリティ対策が搭載されているため、安心して利用できます。

・SSL/TLSによる通信暗号化
・データセンター「AWS」採用による高度なセキュリティ体制
・Pマーク、ISO27001の取得
・24時間365日のサーバー監視体制

専門的でよく分からない単語もあるかと思いますので、詳しくは以下の記事を参考にしてください。セキュリティ対策で注意すべきポイントが5分で分かります。

メールフォームのセキュリティリスクと対策まとめ｜5つのポイントを詳しく解説

また、formrunには、40種類以上のテンプレートが用意されているため、デザイン性の高いフォームが作成できます。フォーム作成だけでなく、顧客情報の分析・管理までも1つのツールで可能です。設置の簡単さはContact Form 7 に軍配があがりますが、フォームを本格的に運用してたくさんのお問い合わせを集めたいと考えている方にぴったりのフォーム作成ツールです。

formrunの詳細については、以下の記事で解説しています。