「お問い合わせフォームに毎日スパムメールが届いて困っている」——WordPressサイトを運営していると、こんな悩みを抱えるケースが少なくありません。
フォームへのスパム送信は、受信トレイを汚染するだけでなく、サーバーへの負荷増加や、本物のお問い合わせを見逃すリスクにもつながります。この記事では、WordPressのお問い合わせフォームに届くスパムの仕組みと、すぐに実践できる対策を3つ紹介します。
なぜお問い合わせフォームにスパムが届くのか
スパムの多くは、ウェブ上を自動巡回する「ボット(Bot)」が送信しています。ボットはフォームを自動入力して送信することで、広告メールや詐欺的なメッセージを大量に届けます。
特に問題になるのは、セキュリティ対策が施されていないシンプルなフォームです。「送信」ボタンがあるだけで、ボットには格好の標的になります。
対策1:Cloudflare Turnstileでボットをブロックする
最も効果的な対策のひとつが、Cloudflare Turnstileの導入です。reCAPTCHAと同様のBOT判定機能ですが、ユーザーに「私はロボットではありません」といったチェック操作を求めません。バックグラウンドでブラウザの挙動を解析し、ボットと人間を自動的に見分けます。
Shed Formでは、姉妹プラグイン「Shed Turnstile」を有効化するだけでTurnstileを統合できます。Cloudflareダッシュボードでサイトキーを取得し、プラグインに登録すると、フォームに自動的にTurnstileが追加されます。
ユーザー体験を損なわずにボットを排除できる点が、このアプローチの大きな利点です。
対策2:NGフレーズフィルターで迷惑メールを点数判定する
Turnstileをすり抜けてくる巧妙なスパムに対しては、フレーズベースのフィルタリングが有効です。
Shed Formには「NGフレーズ管理」機能が搭載されています。フォームに送信された本文を解析し、スパムに特徴的なフレーズ(「突然のご連絡失礼いたします」「視聴のご予約はこちら」「ZOOM開催」など)を検出するとスコアを加算。合計スコアが閾値を超えると、自動的にブロックまたは保留にします。
スコアリング方式のため、単一のフレーズで即ブロックするより誤検知が少なく、正当なお問い合わせを弾いてしまうリスクを抑えられます。
フレーズは管理画面から自由に追加・編集できるため、自社サイトに届くスパムの傾向に合わせてカスタマイズできます。
対策3:IPブロックとレート制限で連続送信を防ぐ
同一IPから短時間に大量送信してくるケースには、IPブロックとレート制限が効果的です。
Shed Formでは、特定のIPアドレスをブロックリストに登録する機能のほか、一定時間内の送信回数を制限する設定が可能です。たとえば「同一IPから10分以内に3回以上送信された場合はブロック」といった設定をすることで、自動送信ツールを使った連続攻撃を遮断できます。
3つの対策を組み合わせるのが最善
スパム対策に「これ一つで完璧」という銀の弾丸はありません。ボットは常に進化しており、単一の対策をすり抜けてくるケースがあります。
以下の3層構造で対策することで、スパムを大幅に減らすことができます。
- 第1層:Cloudflare Turnstile——ボットによる自動送信をフォーム到達前にブロック
- 第2層:NGフレーズフィルター——すり抜けてきたスパムの本文を解析してブロック・保留
- 第3層:IPブロック・レート制限——連続送信・既知のスパム送信元を遮断
Shed Formは、これら3つの対策を1つのプラグインで管理できるように設計されています。
まとめ
お問い合わせフォームへのスパムは、放置するとビジネスの機会損失にもつながります。Cloudflare Turnstile・NGフレーズフィルター・IPブロックの3層対策を組み合わせることで、スパムの大部分をブロックしながら、正当なお問い合わせは確実に受け取れる環境を整えられます。
Shed Formでこれらの機能をお試しになりたい方は、プラグインページからダウンロードしてみてください。
補足:すみません。開発とかサイト準備に忙しくて、AIに記事を書いていただきました💦💦💦