WordPressコーポレートサイトを作っている場合、問い合わせフォーム作成に使われることが多いプラグインが「Contact Form 7」です。

Contact Form 7は簡単に問い合わせフォームが設置できるので便利ですが、一方で脆弱性も報告されており、セキュリティ面での不安を抱えている方も多いと思います。

フォームでは顧客の個人情報の情報漏えいのリスクもあるため、セキュリティ対策は重視しなければなりません。

今回はContact Form 7のセキュリティリスクや、それによって起こる被害、対策の方法について解説します。セキュリティ対策が万全のフォームを作成できるツールも紹介しますので、ぜひ参考にしてください。

【有料ユーザー数No.1】万全のセキュリティ対策!数クリックでサイトに埋め込めるフォーム作成ツール「formrun」はこちら!

【有料ユーザー数No.1】万全のセキュリティ対策!数クリックでサイトに埋め込めるフォーム作成ツール「formrun」はこちら!

チームでの顧客管理や問い合わせ管理、チャットツールやMAツールとの連携にも対応!無料でも利用できるのでまずはお試しください。

目次

  1. Contact Form 7とは
  2. Contact Form 7のセキュリティリスク
  3. Contact Form 7のセキュリティリスクによって起こる被害
  4. Contact Form 7のセキュリティ対策をする方法
  5. 「formrun」ならセキュリティ対策が万全のフォームが作れる
  6. Contact Form 7のセキュリティ対策を徹底し、被害を未然に防ごう

Contact Form 7とは

image1.jpg

「Contact Form 7」とは、プログラミングの知識が少ない方でも簡単に問い合わせフォームを設置できる、WordPressプラグイン(拡張機能)です。

自動返信メールの設定や入力完了画面の設置など、フォームに必要とされる基本的な機能が揃っており、世界中で利用されています。

開発者が日本人であることから日本語での情報が豊富であり、分からないことがあった場合でも解決策を見つけやすいです。公式サイト内のFAQやWordPress内の窓口から質問することもできます。

そんな便利なContact Form 7ですが、セキュリティ面では少し不安の残る面があります。

Contact Form 7のセキュリティリスク

Contact Form 7は、オープンソース(ソースコードが公開されている)のプラグインであり利用者も多いため、様々なセキュリティリスクがあります。

ここでは、Contact Form 7を使ってフォームを運用する場合の、セキュリティリスクについて解説します。

脆弱性をつかれる可能性がある

Contact Form 7ではこれまでに様々な脆弱性が報告されており、その脆弱性をつかれることで個人情報の漏えいやサイト改ざんなどの問題につながるおそれがあります。

2020年12月には、「Contact Form 7で作成したフォームへ無制限にファイルをアップロードできる脆弱性」が発見されました。

悪意のあるユーザーがこの脆弱性を利用すると、ウイルスなどを含んだファイルが大量に送信される可能性があります。また、ホストサーバー上で実行可能なスクリプトファイルを含んだファイルもアップロードできるため、サイトが改ざんされる危険性もあります。

現在はアップデートによって改善されていますが、Contact Form 7に脆弱性が見つかると様々な攻撃を受けてしまう可能性があるのです。

スパムメールが送られる

Contact Form 7にはデフォルトのスパム対策機能がないため、フォームを通じてスパムメールが送られるリスクがあります。

スパムメールは「bot」というプログラムによって自動的に送信されているので、一日に何千、何万件ものスパムメールが送信されてしまいます。

スパムメールの本文にあるリンクを誤ってクリックしてしまうと、ウイルスに感染したりスパイウェアによって顧客の個人情報が盗まれたりなど、甚大な被害が生じます。Contact Form 7を使ってフォームを作成する場合は、別途スパム対策を行わなければなりません。

自動返信メールが悪用される

Contact Form 7では自動返信メールを設定できますが、自動返信の仕組みを悪用されてしまうと、企業側がスパムメールの加害者となる可能性があります。自動返信メールが悪用される手口は、以下の通りです。

  1. 攻撃者が、フォームのメールアドレス入力欄にスパムメールを送りつけたいユーザーのメールアドレス入力する
  2. 問い合わせ内容の欄に、フィッシングサイトなどの有害なリンクURLを貼り付ける
  3. 攻撃者がフォームを送信し、入力された第三者のメールアドレス宛てに自動返信メールが送信される

この手口により、自社のフォームから第三者宛てに、有害なURLを含んだスパムメールが送信されてしまうのです。企業が運営するフォームから送信されるため、信頼が著しく低下する原因になります。

Contact Form 7のセキュリティリスクによって起こる被害

Contact Form 7のセキュリティリスクを放置しておくと、情報漏えいやデータ改ざんなど様々な問題が発生します。

セキュリティ問題が発生した場合に、どのような被害に遭うのかを解説します。

顧客への被害

まず考えられる被害は顧客への被害です。スパムメールのリンクをクリックしたり、外部からの攻撃により顧客の個人情報が流出すると、悪意のあるユーザーに顧客の個人情報が利用されてしまうのです。

情報が悪用されるだけではなく、ユーザーからは「個人情報を流出させてしまう企業」と認識されてしまいます。

また、セキュリティ問題の発生により自社が提供しているサービスやフォームの受付が停止した場合は、サービスを利用している顧客にも被害が及びます。

企業の信用の低下

個人情報漏えいなどの問題が発生すると、企業の信頼が低下してしまいます。

一度企業の信頼が低下した場合、その信頼は簡単に取り戻せるものではなく、インターネットに書き込まれた企業への悪評も消えません。

後にセキュリティ対策を強化したとしても、ネット上に残った悪評から「セキュリティ対策に乏しく情報を流出させた企業」というイメージが付きまとい、以前よりも売上が低下することも考えられます。

被害への対応コスト

セキュリティ問題による被害が生じた場合、その対応に莫大な費用がかかります。顧客に被害が出た場合は損害賠償が請求される可能性があり、被害内容によっては多額の賠償金が必要となります。

また、セキュリティ問題が発生した原因の究明や改善策の導入なども行う必要があり、それらに対応するための金銭的・人的コストもかかります。

セキュリティリスクによる被害への対応コストは決して無視できるものではなく、コストによっては経営が圧迫されてしまうこともあります。

Contact Form 7のセキュリティ対策をする方法

Contact Form 7のセキュリティ対策を強化するための方法は、以下の通りです。

  • WordPressプラグインをアップデート
  • プラグイン「Honeypot for Contact Form 7」を導入
  • プラグインGoogle reCAPTCHA」を導入
  • プラグイン「Akismet(アキスメット)」を導入
  • SSL化を行う
  • アクセス権限の設定

WordPressとプラグインをアップデート

Contact Form 7で作成したフォームのセキュリティを高めるには、プラグインWordPressを最新の状態にアップデートしましょう。古いバージョンのまま利用していると、脆弱性が放置されてしまい不正アクセスなどの攻撃を受けるリスクが高まります。

WordPressプラグインの更新通知が届いた場合は、早急に対応しましょう。通知が送られてこない場合もあるため、公式サイトなどで公開されている最新の情報も確認することをおすすめします。

プラグイン「Honeypot for Contact Form 7」を導入

image3.jpg

Contact Form 7のセキュリティを強化したいなら、「Honeypot for Contact Form 7」のインストールも有効です。「Honeypot for Contact Form 7」はスパムメールや不正アクセスを防止できるプラグインです。

スパムメールの多くは自動入力プログラムによって自動送信されているので、その対策としてページに表示していない入力項目(隠しフィールド)を設定し、そこに入力があった場合はスパムと判定してくれます。

ただし、公式サイトの説明文などは英語表記となっているため注意が必要です。

Honeypot for Contact Form 7

プラグイン「Google reCAPTCHA」を導入

image2.jpg
Google reCAPTCHA」はGoogleが提供するスパム対策用の認証システムで、プラグインをインストールすることで導入できます。

ページに設置しているチェックボックスがチェックされたかどうか、または条件に合った画像を正確に選択したかどうかで、スパムbotかを判断します。

ただし、reCAPTCHAを設置するとユーザーにとってチェックを入れる手間や画像を選択する手間が増え、ストレスを与えてしまう可能性があるため注意しましょう。

Google reCAPTCHA

プラグイン「Akismet(アキスメット)」を導入

image5.jpg

「Akismet(アキスメット)」は、スパムメールを専用フォルダに自動で分けてくれるプラグインです。スパムメールを手動で振り分けて削除する必要がないので、誤ってスパムメール内のURLをクリックしてしまい情報が漏えいするリスクを抑えることができます。

また、WordPressに最初からインストールされているプラグインであり、WordPressの開発元がスパムメール対策プラグインとして推奨しているので、他のセキュリティ対策プラグインよりも信頼できます。

個人ブログの場合は無料で利用できますが、企業および商用向けのサイトで利用する場合は有料となるため注意しましょう。

Akismet

SSL化を行う

フォームから送信されるデータを保護するには、通信のSSL化を行いましょう。「SSL化」とは、通信データを暗号化して第三者が通信内容を盗聴・改ざんできないようにする技術です。

ユーザーがフォームに入力した情報も暗号化したうえで送信されるので、情報漏えいを防いでくれます。

SSL化されているサイトのURLには、先頭に「https」と記載されており、ほとんどのサイトでSSL化が採用されているため、フォームのセキュリティ対策として必須といえます。

アクセス権限の設定

Contact Form 7のセキュリティを高めるには、アクセス権限の設定も行いましょう。誰でも簡単にアクセスできる状態だと、管理画面に不正ログインされフォームや情報が改ざんされてしまうおそれがあります。

セキュリティリスクに備えるためにも、管理者や編集者、閲覧者などの権限を適切に設定しましょう。ただ、Contact Form 7でアクセス権限を設定するにはPHPで記述されたファイルを編集する必要があり、専門知識がないと難しいです。

アクセス権限の設定やセキュリティ対策を簡単に行いたい場合は、「セキュリティ対策が万全なツールでフォームを作成する」という方法があります。

「formrun」ならセキュリティ対策が万全のフォームが作れる

image4.jpg
セキュリティ対策が万全のフォームを作るなら、「formrun」もおすすめです。

formrunは最短30秒で簡単にフォームを作成できるツールであり、以下のように様々なセキュリティ対策がなされています。

  • ISO 27001 (ISMS) 、プライバシーマークを取得
  • SSL/TLSの採用
  • reCAPTCHAの設置が可能
  • 24時間365日体制でサーバーを監視
  • Amazon Web Services(AWS)のデータセンターを採用

作成したフォームは、WordPressなどのサイトに数クリックで埋め込むことができます。回答者の手間を減らす入力補助機能やリアルタイムバリデーション機能も備えています。

フォームから送信された顧客情報を管理する機能もあり、問い合わせはカンバン方式の画面で「未対応・対応中・対応完了」などのステータス別に管理できます。セキュリティ対策はもちろん、顧客管理も効率化したい場合は、formrunもお試しください。

formrun公式サイト

Contact Form 7のセキュリティ対策を徹底し、被害を未然に防ごう

Contact Form 7は簡単に問い合わせフォームを設置できることが魅力ですが、使用する際はセキュリティ対策を徹底する必要があります。

セキュリティ対策が万全でないと脆弱性をついて攻撃されてしまい、顧客情報の漏えいや企業の信用の低下、被害への対応コストなどが発生します。

Contact Form 7でセキュリティ対策を行うには、別のプラグインを導入する必要があり手間がかかってしまいます。セキュリティ対策が万全のフォームを簡単に作成したいなら、formrunもおすすめです。

formrunは、SSL/TLSの採用やreCAPTCHAの設置、24時間365日体制でのサーバー監視に対応しており、アクセス権限を設定することも可能です。

WordPressサイトへ簡単に埋め込めるだけではなく、無料でも利用でき顧客管理を効率化する機能も備わっているため、ぜひお試しください。

【有料ユーザー数No.1】万全のセキュリティ対策!数クリックでサイトに埋め込めるフォーム作成ツール「formrun」はこちら!

【有料ユーザー数No.1】万全のセキュリティ対策!数クリックでサイトに埋め込めるフォーム作成ツール「formrun」はこちら!

チームでの顧客管理や問い合わせ管理、チャットツールやMAツールとの連携にも対応!無料でも利用できるのでまずはお試しください。