ワードプレスのコンタクトフォームスパムを防ぐ方法

WordPressのコンタクトフォームスパムを止める方法

更新された: 読者への情報開示
LinkedIn

WordPressのコンタクトフォームのスパムが多発していませんか?

コンタクトフォームを使用するウェブサイトにとって最大の脅威のひとつは、フォームの不正使用やスパムの可能性です。

ありがたいことに、WordPressのコンタクトフォームスパムに効果的に対処する方法があります。

この投稿では、WordPressでコンタクトフォームのスパムをブロックするためにさまざまなテクニックを使用する方法を説明します。

コンタクトフォームスパムが危険な理由

WordPressのお問い合わせフォームは、悪意のあるスパムプログラムの格好の標的となっています。ここでは、スパムボットがお問い合わせフォームを悪用することであなたのサイトに害を及ぼす可能性のある方法をいくつか紹介します:

  • 有害なリンクを送信する: 悪意のあるスパムボットが、お問い合わせフォームを使ってマルウェアを含む可能性のあるリンクを送信することがあります。あなたのチームのユーザーがそのリンクをクリックすると、WordPress サイトを含む組織全体がマルウェアに感染する可能性があります。
  • メール配信の問題: フォームを送信するたびに通知メールが送信されるため、フォームが攻撃を受けている場合、サイトが異常に大量のメールを送信し始める可能性があります。その結果、迷惑メールやバルクメールエラーが発生する可能性があります。
  • サービス拒否(DoS): ボットの中には、あなたのフォームを限界まで繰り返し入力する非常に効率的なものがあります。DoSボットの目的は、短時間に大量のリクエストでウェブサイトを圧倒することです。このため、サイトの速度が低下したり、実際のユーザーに対するフォームの機能に影響が出たり、サイトが停止したりする可能性があります。
  • ハッキング: 自動化された総当たり攻撃プログラムは、ユーザーをハッキングする目的で、ユーザー登録やログインフォームのあるサイトを標的にすることがあります。これは、アカウント乗っ取り、情報漏えい、データ損失につながる可能性があり、非常に危険です。
  • 生産性の低下: サポートスタッフが大量のスパムエントリーをフィルタリングしなければならない場合、実際のユーザーに迅速に対応する能力に影響します。生産性への影響はブランドの評判を下げ、コンバージョンの機会を逃すことにもつながります。

これらは、スパムがあなたのサイトに多くの問題を引き起こす可能性のある方法の一部です。

しかし、良いニュースは、コンタクトフォームスパムをブロックするのは非常に簡単だということです。以下では、コンタクトフォームスパムを一掃するために使える最高のツールとテクニックをご紹介します。

WordPressのコンタクトフォームスパムを止める方法

WordPressサイトでコンタクトフォームスパムに対抗するには、以下をお勧めします:

さあ、飛び込もう。

1.スパム対策が組み込まれた WordPress フォームプラグインを入手する

WordPressでコンタクトフォームのスパムを防ぐためにできる最も重要なステップは、強力なスパム防止機能を内蔵したプラグインを使用することです。

WordPressのフォームプラグインはたくさんありますが、多くは信頼できるスパム対策方法をサポートしていません。

最も簡単に自動スパム対策をコンタクトフォームに組み込むには、WPFormsの使用をお勧めします。

WPFormsはコンタクトフォームのスパム対策が非常に充実しているフォームビルダーです。その他にも様々な便利な機能が搭載されており、詳しくはWPFormsのレビューをご覧ください。

WPFormsホームページ

WPFormsをインストールしたら、WordPressのページにフォームを追加します。その後、利用可能ないくつかのアンチスパムメソッドから選択することができます。

まず、最も簡単で信頼性の高いオプションから始めよう。

2.WPFormsの最新のスパム対策を使用する

WPFormsはスパムを検出し、防止するためにビルトインの多層アプローチを使用しています。これは、お問い合わせフォームのスパムをブロックする最も簡単な方法であり、私たちの最も推奨されるreCAPTCHAの代替です。

最新のスパム対策はWPFormsのデフォルトで有効になっており、スパムと戦うためにバックグラウンドで静かに実行されます。WPFormsのビジュアルインターフェースから設定 " スパム対策とセキュリティに 移動することで設定にアクセスできます。

スパム防止設定

そして、「Enable modern anti-spam protection 」の隣にあるトグルボタンが有効になっていることを確認してください。

この設定を有効にすると、スパムボットがスパム防御を発動したときにフォームが送信されないようになります。

また、WordPressのデータベースにスパムエントリーを保存するオプションもあり、送信内容を確認し、誤検出されたエントリーを簡単に回復することができます。

送信までの最短時間を有効にする」オプションもデフォルトで有効になっており、2秒に設定されています。しかし、この最小時間はお好きな値に変更することができます。この設定はボットによるフォーム送信を防ぐのに役立ちます。人間がフォームに記入するのにかかる通常の時間より前に送信されるのを防ぎます。

WPFormsのアンチスパムプロテクションは、他のものよりプライバシーに優しく、最高のユーザーエクスペリエンスを提供するため、断然最高のスパムブロック技術です。

3.reCAPTCHAを含める

WPFormsはGoogleのreCAPTCHAのようなサードパーティのスパム防止ツールもサポートしています。これはスパム対策の非常に強力な方法ですが、前のステップで示したように単に最新のスパム対策を有効にするよりも設定に少し時間がかかります。

ビデオでプロセスのデモを見るか、ステップ・バイ・ステップの説明を読み続けることができる。

現在、3種類のreCAPTCHAがあります:

  • チェックボックスreCAPTCHA v2: このreCAPTCHAバージョンには、ユーザーがボットでないことを確認するためにクリックしなければならないチェックボックスがあります。ユーザーの活動が疑わしいと思われる場合、本物のユーザーであることを確認するために、小さな画像検証テストを行うよう求めることがあります。
  • 見えないreCAPTCHA v2: 不可視reCAPTCHAでは、ユーザーはチェックボックスをまったく見ません。むしろ、このreCAPTCHAサービスは、ボットを特定しブロックするためにユーザーの行動を分析します。
  • reCAPTCHA v3: 上記の2つのサービスは時々画像チャレンジを表示することがあるが、reCAPTCHA v3はバックグラウンドで完全に静かに動作する。これは高度なスパム防止ツールだが、少し繊細すぎて、時には人間のユーザーをブロックすることもある。

フォームにreCAPTCHAを追加するには、WordPressの管理画面を開き、WPForms " Settingsに進みます。

WPFormsの設定

WPFormsロゴの下の横棒にあるCAPTCHAタブをクリックします。

WPForms CAPTCHA

このページはWPFormsで利用可能なCAPTCHAオプションを表示します。reCAPTCHAを選択してください。

WPForms recaptcha

ここで、設定したいreCAPTCHAのバージョンを選択します。Invisible reCAPTCHA v2が使いやすいのでおすすめですが、他のオプションも選択できます。

recaptchaオプション

reCAPTCHAを設定するには、新しいブラウザのタブでreCAPTCHAのサイトにアクセスし、Admin Consoleをクリックする必要があります。

管理コンソール recaptcha

プロンプトが表示されたら、Googleアカウントにログインします。ログイン後、サイトのドメイン名を入力して登録し、reCAPTCHAの種類セクションで希望のreCAPTCHAを選択します。

次に、ウェブサイトのドメイン名を ドメイン の後に続く部分のみを入力するようにしてください。 https:// をURLに入れてください。

再キャプチャドメイン

次に、reCAPTCHAの利用規約に同意し、通知を受け取りたい場合はアラートにチェックを入れます。

recaptchaの設定

Submitを クリックして設定を保存します。ドメインが登録されたというメッセージが表示され、その下にサイトキーとシークレットキーが表示されます。

サイト・キーとシークレット・キー

WPForms " 設定ページを開いているブラウザのタブに切り替え、対応するフィールドにreCAPTCHAサイトとシークレットキーをコピー&ペーストしてください。

wpforms秘密のrecaptchaキー

Save Settingsボタンを押して、reCAPTCHAの設定を完了します。

フォームにreCAPTCHAフィールドを追加するには、WPFormsのドラッグアンドドロップインターフェイスを使ってフォームにフィールドを配置するだけです。

フォームビルダーのrecaptchaフィールド

これでフロントエンドに reCAPTCHA バッジが表示され、フォームに reCAPTCHA スパム防止機能が追加されたことを示します。

リキャプチャバッジ

次に、もう一つの人気のあるスパム防止サービスを見てみよう。

4.フォームで hCaptcha を使う

hCaptchaはGoogleのreCAPTCHAとよく似ていますが、よりプライバシーに配慮したスパムブロックサービスです。hCaptchaはGoogleのreCAPTCHAとよく似ていますが、よりプライバシーに配慮したスパムブロックサービスです。

WPFormsとhCaptchaサービスを接続するには、WordPressのダッシュボードからWPForms " Settingsに アクセスしてください。

WPFormsの設定

設定ページで、横のバーにあるCAPTCHA タブをクリックする。

WPForms CAPTCHA

利用可能なオプションからhCaptchaを選択します。

hCaptchaを選択

前回と同様に、新しいブラウザのタブに切り替えてhCaptchaにアクセスし、サービスにサインアップしてください。

hCaptchaサインアップ

次の画面でhCaptchaのプランを選択します。無料プランでも小規模なサイトであれば十分に機能しますので、このチュートリアルでは無料プランで作業します。

hCpatchaの無料プランを選択

プランを選択したら、hCaptchaアカウントを作成するためにフォームに記入してください。

hCaptchaサインアップフォーム

サインアッププロセスを完了し、ダッシュボードにログインしたら、「 New Site」ボタンをクリックして次に進みます。

新規サイトボタンを押す

一番上で、あなたのhCpatchaサイトキーの名前を入力することができます。次に一般情報セクションまでスクロールダウンし、ドメイン名を入力します。完了したら、新しいドメインを追加を押してください。

hCaptchaにドメインを追加する

下にスクロールすると、hCaptchabの動作モードが表示されます。ユーザーを常にチャレンジさせたいか、より受動的なキャプチャを維持したいかによって、異なるモードを選択することができます。

hCaptchaの動作

次に、もう一度スクロールダウンして、「Passing Threshold」セクションに進みます。ここでは、キャプチャチャレンジの難易度を設定することができます。

しきい値通過

ほとんどの場合、難易度「中程度」は、ユーザーエクスペリエンスを損なうことなく、スパム防止にそれなりに効果的です(必要であれば、後でいつでも変更できます)。

ここで、一番上までスクロールして戻り、「保存 」を押す。

hcaptchaの設定を保存する

次のページに進み、追加したサイトが表示されます。追加したドメインの横にある設定ボタンをクリックしてください。

アクティブサイトの設定

設定の中で、Sitekeyまでスクロールダウンし、それをコピーする。

サイトキーをコピーする

Sitekeyをメモ帳のようなテキストエディタに貼り付けてください。すぐに必要になります。

右上のプロフィールアイコンをクリックし、「設定」を選択します。

hcaptchaの設定

シークレットキーはここにあります。シークレットキーのコピーボタンをクリックしてください。

秘密鍵のコピー

素晴らしい!これでサイトキーとシークレットキーの両方が手に入りましたので、WPFormsのhCpatcha設定ページに戻り、適切なフィールドにキーを貼り付けてください。

wpforms hcaptcha キー

その後、保存を クリックしてWPForms用のhCaptchaのセットアップを完了します。

これで、WPForms を使ってフォームを作成するときにhCaptcha フィールドを使うことができます。

hCaptchaフォームビルダー

hCaptchaバッジがフォームの上部に表示されます。

hcaptchaバッジ

おめでとうございます!これであなたのフォームは hCaptcha によってスパムから保護されました。より詳しい説明をご希望の方は、hCaptcha を使ってコンタクトフォームに CAPTCHA を追加するガイドをご覧ください。

5.Cloudflare Turnstileを使用する

Cloudflare Turnstileは、Google reCAPTCHAやhCaptchaに代わる、プライバシーを最優先した無料ツールです。訪問者がパズルを解く必要がありません。

WPFormsのフォームに追加するには、ビデオを見るか、以下の手順に従ってください:

開始するには、WordPressのダッシュボードでWPForms " Settings " CAPTCHAに移動し、プロバイダのリストからTurnstileを選択します。

Turnstileスパム対策を有効にする

空のキーフィールドが表示されます。新しいタブを開き、Cloudflareアカウントにサインインし、Turnstile " Add siteを選択します。

改札口を追加

適切なフィールドに名前とサイトのドメインを入力します。

ターンスタイルのウェブサイトのドメインを入力

次に、ウィジェットの種類を選んでください。

改札ウィジェットを選択

ここで、[Create]をクリックして、サイト・キーと シークレット・キーを表示します。

Cloudflare から Site Key と Secret Key をWPForms Settings の一致するフィールドにコピーします。

ターンスタイルのサイトキーとシークレットキーを入力します。

必要であれば、ユーザーが Cloudflare Turnstile 検証チャレンジを完了せずにフォームを送信しようとしたときに表示される失敗メッセージを変更できます。また、ウィジェットのスタイルを選択し(ライト/ダーク/オートテーマを選択)、他のプラグインやテーマもTurnstileを読み込んでいる場合は、オプションで競合なしモードを有効にすることもできます。Save Settingsをクリックします。

どのフォームでもCloudflare Turnstileを有効にできるようになりました。ビルダーでフォームを開きます。Turnstileフィールドをフォームにドラッグするか、 Settings " Spam Protection and SecurityEnable Cloudflare Turnstile をトグルします。

フォームに改札フィールドを追加する

隅にある小さなTurnstileバッジは、それがアクティブであることを確認する。

ターンテーブル対応フォーム

6.カスタムCAPTCHAを使用する

私たちはカスタムCAPTCHAの大ファンです。なぜなら、非常に効果的であり、実際のユーザーにとって少し厄介な画像ベースのチャレンジを必要としないからです。

WPForms ProのユーザはCustom CAPTCHAアドオンを取得することで、スパム防止のためにフォームに簡単な数学ベースのクイズやカスタムの質問と回答を含めることができます。

カスタムCAPTCHAを設定するには、フォームビルダーインターフェースを起動します。

コンタクトフォームビルダー

次に、Fancy Fieldsセクションの下にあるCustom CAPTCHAフィールドを見つけます。まだCustom CAPTCHAアドオンをインストールしていない場合、このフィールドは半透明になっています。クリックすると、アドオンをインストールするよう促されます。

カスタムCAPTCHAフィールド

ポップアップが表示されたら、[はい]、[インストールとアクティベーション]をクリックして次に進みます。

カスタムキャプチャを有効にする

インストールは2~5秒で完了します。カスタムCAPTCHAアドオンがアクティブになると、ポップアップに成功のメッセージが表示されます。続行するには、[はい]、[保存して更新]をクリックします。

カスタムキャプチャを保存する

カスタム CAPTCHA フィールドをフォームにドラッグ&ドロップします。フォームに追加されたフィールドをクリックすると、その設定にアクセスできます。

ここでは、CAPTCHAのタイプ(数学またはカスタム質問と回答)を選択し、説明を追加することができます。

カスタムCAPTCHAの例

数学を選択した場合、 WPFormsは自動的に簡単な算数の質問を生成し、ユーザはそれに正しく答えなければなりません。スパムボットはこのような算数の質問に答えることができないので、このカスタムCAPTCHAは非常に効果的なコンタクトフォームスパム防止テクニックです。

また、CAPTCHAのタイプとして「質問と回答」を選択することもできます。これにより、質問を作成し、正解を設定することができます。

一問一答

設定の質問フィールドの横にある青い(+)アイコンを使用して、複数の質問を追加できます。

変更が終わったら、必ずフォームを保存してください。

7.国とキーワードのスパムフィルターを有効にする

WPFormsでは特定の国からの投稿をブロックしたり、スパムであることが分かっている単語を含む投稿を拒否することができます。

どのフォームでもこれらのフィルタを有効にするには、ビルダーでフォームを開き、設定 " スパム対策とセキュリティ をクリックします。

スパム防止設定

フィルタリングまでスクロールし、「国名フィルタを有効にする」または「キーワードフィルタを有効にする」をオンに切り替えます。

wpformsでキーワードフィルタを有効にする

ドロップダウンを使用して、選択した国に対して許可または拒否を選択するか、ブロックされたキーワードを行ごとに追加します。

ブロックされた試みは、受信トレイに届く前に阻止されるため、正規のユーザーがエラーメッセージを目にすることはない。

8.テキストフィールド内のURLをブロックする

スパムボットの多くは、コンタクトフォームを通じてフィッシングリンクを配信するように設計されています。時には、あなたのフォームを使って悪意のあるリンクを送信する本物の人間もいるかもしれません。ご存知の通り、CAPTCHAやフォームトークンでは本物の人間のスパマーを阻止することはできません。

そのため、フォームを通じて不審なリンクを受信している場合は、フォームフィールドでのURL送信を完全にブロックした方がよいでしょう。

PHPスクリプトを追加することで、フォームフィールドのURLをブロックすることができます。フォームにコードスニペットを追加する方法については、WPFormsのカスタムPHPを追加するチュートリアルを参照してください。

以下のコード・スニペットを使って、フォームの1行テキスト・フィールドと段落テキスト・フィールド内のURLをブロックしてください。

上記のコードをフォームに追加すると、ユーザーがテキストフィールドにリンクを送信しようとした場合、WPFormsは "No URLs allowed "エラーを表示します。

9.アンチスパムWordPressプラグインを使用する

WordPressにはいくつかの強力なスパム対策プラグインがあります。これらのプラグインのほとんどは、スパムに繰り返し現れる単語のパターン、一般的なリンク、メールアドレス、さらにはユーザーやボットのIPアドレスなど、既知のスパムコンテンツのデータベースをスキャンすることで動作します。

人気のあるWordPressスパム対策ツールには、Akismetと Jetpackがあります。これらのプラグインはサイト全体で動作するので、コンタクトフォームのスパムを制限するだけでなく、ブログのスパムコメントも減らすことができます。

WPFormsにはネイティブのAkismetが統合されているので、私たちは特にAkismetをお勧めします。この統合を有効にすると、WordPressのコンタクトフォームスパムをフィルタリングする優れた方法となります。

これらのスパム防止WordPressプラグインと、上記でご紹介したその他のテクニックを併用することで、サイト全体のセキュリティを強化することができます。

10.スパマーを繰り返すメールアドレスをブロックする

人間のスパマーをフィルタリングする場合、メールアドレスフィールドは非常に便利です。人間のスパマーはCAPTCHAやフォームトークンを簡単に回避することができるため、スパマーをブロックするための特別な安全策が必要です。

ウェブサイトが同じようなメールアドレスから頻繁にスパムを受信している場合、疑わしいメールアドレスをブロックすることが有効です。

メールアドレスをブロックするには、WPFormsのEmailフィールドをクリックします。次に、左側のペインでAdvancedタブを選択します。

下にスクロールし、Allowlist / Denylist ドロップダウンをクリックし、Denylistを選択します。

デニリストにメールする

Denylistオプションの下にあるボックスに、投稿をブロックしたいメールアドレスを追加することができます。複数のメールアドレスをカンマで区切って入力することができます。

アスタリスク*を使用すると、部分的に一致するメールアドレスをブロックすることができます。

例えば、メールドメインの前にアスタリスクを使用する(例えば *@domain.com) は、そのドメインのすべてのメールアドレスがエントリーを投稿できないように制限します。

また、特定のユーザー名で始まるメールアドレスの後にアスタリスクを付けてブロックすることもできます。 example*).

これらのルールは、同じドメインやユーザー名のメールアドレスからスパムを受信している場合に最適です。

ブロックリストを作成したら、必ずフォームを保存して ください。

11.新規ユーザーにEメール認証を要求する

本物のスパマーやボットは、偽のEメールを使ってあなたのサイトに登録しようとします(ユーザー登録を許可していることが前提です)。スパマーが偽のEメールを使って登録するのを阻止する簡単な方法は、Eメール認証を要求することです。

WPFormsでは、新規ユーザーがアカウントを登録する前にEメール認証を設定することができます。

Eメール認証を追加するには、WPFormsインターフェースの左側のペインからSettings" User Registrationを クリックします。

注意:これらの設定にアクセスするにはWPForms用のUser Registrationアドオンが 必要です。お持ちでない場合は、ユーザ登録フォームの作成方法をご覧ください。

ユーザー登録

次に、「 ユーザー登録を有効にする」をクリックします。

ユーザー登録を有効にする

Enable User Activationトグルボタンを有効にします。

ユーザー登録を有効にする

新しいメニューが表示され、アクティベーションのタイプをユーザーEメールに選択できます。

これで、ユーザーがサイトにアカウントを登録しようとするときはいつでも、登録リンクを受け取るために有効なメールアドレスを提供しなければならなくなった。つまり、偽のEメールを使ったユーザーからのスパムがなくなるということだ!

12.スパムIPアドレスのブラックリスト

プロキシやVPNサービスを使えばIPアドレスを詐称するのは簡単なので、スパム発信者のIPアドレスをブロックするのは、このリストの他の方法ほど効率的ではない。

しかし、スパマーがあなたのサイトに何度も戻ってくるパターンに気づいたら、そのIPアドレスをブロックしてWordPressサイト全体へのアクセスを拒否することができます。

IPアドレスでユーザーを制限するには、WordPressのダッシュボードからSettings " Discussionに 進み、Disallowed Comment KeysボックスにブロックしたいIPアドレスを入力してください。ブロックするIPアドレスが複数ある場合は、それぞれのIPアドレスを新しい行に追加してください。

WordPressブロックリスト

しかし、そもそもスパマーのIPアドレスをどうやって見つけるのか?そのためには {user_ip} スマートタグをWPFormsのメール通知コンテンツに追加します。

これで、フォーム送信に対するEメール通知を受け取ると、Eメールの内容にそのIPアドレスが含まれるようになります。

似たようなIPアドレスからスパムエントリーが来ていることに気づいたら、それをメモして、上記のようにWordPressのIPブロックリストに追加するだけです。

万が一WPFormsがメールを送信できない場合は、トラブルシューティングの手順をまとめた専用ガイドをご用意しています。

本日は以上です!このガイドが、WordPressでスパムからの連絡を阻止するための便利なヒントを学ぶのに役立てば幸いです。

次に、パスワードリセットメールのベストプラクティスを適用する。

サイトにパスワードリセットフォームがある場合、明確で安全なパスワードリセットメールを設定する必要があります。重要なヒントについては、パスワードリセットメールのベストプラクティスに関する記事をご覧ください。

また、メール配信率を向上させたい場合は、メールサブドメインについての記事と、なぜサブドメインを使うべきかをご覧ください。

今すぐWordPressのメールを修正

メールを修正する準備はできていますか?最高のWordPress SMTPプラグインで今すぐ始めましょう。メールを修正する時間がない場合は、追加購入としてWhite Glove Setupのフルサポートを受けることができます。

この記事がお役に立ちましたら、Facebookや TwitterでWordPressのヒントやチュートリアルをご覧ください。

情報開示私たちのコンテンツは読者支援型です。つまり、あなたが私たちのリンクをクリックした場合、私たちはコミッションを得る可能性があります。WPFormsがどのように資金を調達しているのか、なぜそれが重要なのか、そしてどのように私たちをサポートできるのかをご覧ください。

オサマ・タヒール

オサマはWP Mail SMTPのシニアライターです。WordPressのメール配信ソリューションや、中小企業向けの便利なプラグインについて執筆しています。もっと知る

無料のWP Mail SMTPプラグインをお試しください

お気に入りのSMTPプロバイダーを使って、WordPressのメールを確実に送信しましょう。

このフォームを入力するには、ブラウザのJavaScriptを有効にしてください。