WordPressフォームでセキュリティを強化する6つの対策を解説

ユーザー登録、資料請求、各種問い合わせなど、円滑なWebサイト運営に欠かせないのがお問い合わせフォームです。しかしフォームにはセキュリティ上のリスクが潜んでいるため、何も意識せずに使用していると、思わぬ被害に遭う可能性があります。

これらのリスクを理解し、適切な対策を講じることで、WordPressのお問い合わせフォームを安全に運用することができます。本記事は、WordPressフォームのセキュリティリスクと、具体的なセキュリティ対策について詳しく解説します。

WordPressお問い合わせフォームに潜む3つのセキュリティリスク

Webサイトのお問い合わせフォームは、サイトとユーザーを繋ぐ重要なツールです。WordPressでは、「Contact Form 7」に代表される無料のフォームプラグインが数多く提供され簡単に設置が可能です。

しかし、これらのプラグインは手軽で便利な反面、セキュリティリスクとなる脆弱性が発生するケースがあります。適切なセキュリティ対策が施されていないと、さまざまなリスクにさらされる可能性があります。

【1つ目のリスク】脆弱性が狙われる

脆弱性とは、システムやソフトウェアに設計上の不具合が存在することで発生するサイバーセキュリティ上の欠陥です。

WordPressフォームに関連するプラグインには、長期間更新されない場合や機能追加時のミスなどが原因で脆弱性が発生する場合があります。これらの脆弱性を放置すると、フォームを狙ったSQLインジェクションやクロスサイトスクリプティング（XSS）などの攻撃を受ける可能性があります。

その結果、データベースへの不正アクセスやユーザー情報の漏洩が発生するリスクが高まります。さらに、DDoS攻撃やデータ改ざんなどの被害に遭う可能性もあります。

2024年、各種脆弱性情報を収集する「JVN iPedia」ではWordPressフォーム関連の脆弱性は85件報告され、そのうち12件は深刻度が緊急のものでした。フォームプラグインそのものに脆弱性がなくても、関連する補助プラグインもリスクの対象になるため危険が増大します。

脆弱性が解消される前にサイバー攻撃を行うゼロデイ攻撃のような手法もあるため、脆弱性が発見された場合は迅速な対応が求められます。

表：2024年に「JVN iPedia」に報告されたWordPressフォーム関連の脆弱性（うち緊急度が9以上のもの）

出典：https://jvndb.jvn.jp/

【2つ目のリスク】自動返信メールを悪用される

お問い合わせフォームの自動返信メール機能は、ユーザーに対してお問い合わせの受領を通知する便利な機能です。しかし、これが悪意のある第三者に悪用されることがあります。

まず、攻撃者はフォームのメールアドレス欄にスパムメールの送信先アドレスを入力します。本文欄には悪質な広告リンクやフィッシングサイトのURLを追加する場合もあります。この内容を送信することで、アドレスを入力された人宛にスパムメールが送信される仕組みです。

一連の操作を自動化することで、攻撃者は労なく大量のスパムメールを送信できるようになっています。近年、このタイプの被害が数多く発生しています。

その結果、本来は当該サイトとはなんの関係もないユーザーにフィッシング詐欺メールが送信されるばかりか、Webサーバーに負荷がかかり、本来の用途で利用したいユーザーが利用できなくなってしまう可能性があります。

【3つ目のリスク】スパムメールの被害に遭う

スパムメール（迷惑メール）とは、無差別に大量送信されるメールを指します。マルウェアを含むことも多く、届いたメールを不用意に開封すると不正なプログラムがインストールされる危険があります。

これらのメールはボットと呼ばれるプログラムがインターネット上のフォームを発見して機械的にデータを自動生成、入力、送信することが原因です。大量のスパムメールが送信されることで、Webサーバーの負荷が増加し、正当なユーザーからの問い合わせが埋もれてしまう可能性があります。

また、スパムメールによって大量のメールを送信することになるため、外部のスパムフィルターにより、正当なメールがスパムとして扱われたり、メールサーバーがブラックリストに登録されたりする事態が発生する可能性もあります。

多くの場合、自社サイトがスパムメールに悪用されていることにはすぐに気が付きません。そのため、顧客からメールが送信できないと連絡を受けて発覚するケースもあり、より被害が拡大する危険があります。

WordPressお問い合わせフォームで設定すべき6つのセキュリティ対策

WordPressのお問い合わせフォームを安全に保つための最初のステップは、プラグインを常に最新の状態に保つことです。さらに次に取り組むべきステップとして、6つのフォームセキュリティ対策を紹介します。

【1】安全なお問い合わせフォームプラグインを選ぶ

お問い合わせフォームのセキュリティを確保する大前提として、信頼性の高いプラグインを選ぶことが重要です。「Contact Form 7」などの知名度が高く人気があるプラグインは、脆弱性への対応がしっかりとされているので安心して利用できます。

また、プラグインにこだわらずに「Googleフォーム」や「Microsoft Forms」をお問い合わせフォームとして使用する選択肢もあります。どちらも安全性が高く、多くの人が利用したことがあるため受け入れられやすいメリットがあります。

もっとも危険なのは、適切な脆弱性対策ができていないにも関わらず手作りのHTMLフォームを実装してしまうケースです。インターネットで検索したフォームのサンプルコードをそのままコピペしてしまうのは危険なので避けましょう。

予算にもよりますが、セキュリティ対策がしっかりしている有料のフォームを導入するのも良い方法です。

なお「Contact Form 7」と並んで人気があったフォームプラグイン「MW WP Form」は、2023年9月に開発が終了しています。保守は継続するものの限定的なため、脆弱性対応などに不安が生じます。 まだ同フォームを利用している企業は、速やかに移行を検討してください。

【2】Google reCAPTCHA を導入する

Google reCAPTCHAは、Googleが提供しているボット／スパム対策サービスです。ユーザーが人間であることを確認するためのテストを行い、不正なアクセスを防ぎます。

簡単に設定でき、スパムメールの送信を大幅に減らすことができるため多くのサイトで導入されています。Googleのサイトからドメインや認証タイプを入力して利用開始できます。

https://cloud.google.com/security/products/recaptcha?hl=ja

＊「Contact Form 7」のreCAPTCHA導入方法については、以下の記事で詳しく解説しています。
【図解】Contact Form 7のreCAPTCHAの導入・設定方法（スパム対策）

【3】自動返信メールを送信しない

自動返信メールを悪用したフィッシングメールを予防するもっともシンプルな対策は、できるかぎり自動返信を使用しないことです。しかし、自動返信メールがないとお問い合わせフォームに入力したユーザーは不安に感じる可能性があります。

そのため、おすすめなのが「定型文のみの自動返信メールを送信する」という方法です。この方法であれば、フォームを入力したユーザーに安心感を与えつつ、不要な情報を挿入されずに済みます。

【4】セキュリティプラグインを導入する

WordPressには数多くのプラグインが提供されています。スパムを排除可能な「Akismet Anti-spam」などのセキュリティプラグインを導入することで、フォームをより安全な状態に保つことができます。

https://ja.wordpress.org/plugins/akismet/

「Akismet Anti-spam」は、フォームのコメントとスパムデータベースを照合してスパムをブロックしてくれるプラグインです。スパム判定されたコメントは、専用のスパムフォルダへ自動で振り分けてくれます。

また、様々なフォームプラグインとの連携も可能で、フォーム側に簡単な設定を追加するだけで、フォームにスパム対策を実装することができます。

【5】SSL/TSLによりデータが暗号化されていることを確認する

もっとも基本的なセキュリティ対策のひとつがデータの暗号化です。SSL/TSLは、データの送受信を暗号化し、第三者による盗聴や改ざんを防ぎます。URLが「https://」で始まることを確認し、ブラウザのアドレスバーに鍵マークが表示されていることを確認しましょう。

本対策および次項のアクセス制御は、不正にログインされた際にデータを守ります。

【6】アクセス制御を行う

会員制サイトなどで、会員のみのお問い合わせを受け付けたい場合は、ログイン中のユーザー以外からのアクセスを制御する方法が有効です。具体的には、管理画面でユーザーにアクセス権限を設定する方法がシンプルです。

＊WordPressのユーザー権限を設定する方法については、以下の記事で詳しく解説しています。
WordPressのユーザー権限とは？権限グループの概念や設定方法を解説

まとめ

WordPress フォームにはセキュリティリスクがあることを踏まえた上で、サイバー攻撃などの被害に遭わないよう適切な対策を取ることが重要です。いつもの「プラグインを常に最新の状態に保つ」から一歩進んだ対策を取ることで、より安全に利用することが可能です。

Webサイトとユーザーを繋ぐ有効なツールであるお問い合わせフォームを安全に保ち、サイト側もユーザー側も安心して利用できる状態を保ちましょう。

WordPress保守・運用のパートナーなら「wp.support」にお任せ！

WordPressサイトを運用していて、以下のようなお悩みはありませんか？

• 管理画面を使いやすくしたいけれど、カスタマイズする時間や技術がない…
• サイトのUI/UXを改善したいけれど、自社内では難しい…
• WordPressサイトを高速化したいけれど、ノウハウがない…
• セキュリティ対策をしたいけれど、知識のある人材がいない…
• 日々の業務に追われて、バージョンアップなどの保守業務が放置気味…
• ちょっとしたトラブルを気軽に相談できる相手が欲しい…

「wp.support」は、WordPressのプロフェッショナル集団によるWordPress保守サービスです。
「セキュリティ対策」「バージョンアップ対応」「定期バックアップ」はもちろん、「電話サポートが無制限」なのでカスタマイズの方法やトラブル発生時にも気軽にプロに相談できます。

既に導入済みのお客様からも、
「些細なことでも気軽に相談できるパートナー的な存在」
「困ったら相談していいんだ、と気持ちが楽になった」
と大変ご好評をいただいています。

WordPress保守・運用のパートナーをお探しなら、ぜひお気軽にお問合せください。

>> wp.supportに無料相談する