玄関の、漆黒のパネルを背景に高砂百合が咲き始めました。
サイトのお問い合わせなどに、プラグイン Contact Form 7 を使ってメールフォームを設置しますが、設置後3~5ヶ月するとスパムの書き込みが始まることがあります。
ご自分の自動配信にGmail などのフリーメールを使っていると、フィルターでカットされて気が付かない場合があるものの、念のためフォームを設置したクライアントさんのうち、私の方でログインできる14件の方には文字入力のプラグインを使ったり、ほとんどが外国なので日本語を入れないと送信できない関数を追記しますが、それでもセキュリティが破られる場合があります。
プラグイン Flamingo をインストールしてチェックすると、やはり半年以上経ってる幾つかのサイトに書き込みが始まり、中には2800件余りもの大量書き込みが1件ありました。
メールフォーム(Contact Form 7 に限らず)の宿命のようで、一昨日はinfo@domain のメールアカウントを使っているクライアントさんから、サーバー会社から警告メールが届いたとの連絡がありました。
ドメイン名を使ったメールアカウントは、フォームの自動配信がダウンロードされないとサーバーに残るのですが、警告内容は、そのメールアカウントで大量のメール配信があったとのことです。
メールを受送信する際のパスワードが破られたということでしょうか。
サイトそのものの書き換えはないものの、全てのパスワード変更と、メールフォームには reCAPTCHA 対策をしました。
Googleのアカウントを取得してもらってプラグイン Simple Google reCAPTCHA を使い、メールフォームのページだけにロゴがでるコードも追加して完了。しばらく様子をみていきます。
手順
reCAPTCHA の v3 を使うため、wordpress(vor,5.4.2) と Contact Form 7(vor,5.2) を最新バージョンに更新しておきます。
1、URL:https://www.google.com/recaptcha/admin
にログインして必要事項(ラベル(名前を適宜)・タイプ v3 ・https:// 無しのサイトURL など)を入力し、送信するとサイトキーとシークレットキーが表示されるのでコピペしておきます。(Googleのアカウント要)
※このページをブックマークしておくと、不正アクセスの確認できます。
(reCAPTCHAを導入した7月下旬から今日まで一週間の「晒柿」サイト結果)
2、プラグイン「Simple Google reCAPTCHA」もしくは「Invisible reCaptcha」をインストール。
下記のサイトを参考に、トライしてください
◆「Simple Google reCAPTCHA」
URL:https://www.cloud9works.net/web/invisible-recaptcha-for-wordpress-plugin/
フォームでのチェックボックスは無いが、ロゴが全ページ右下に出るのでフォームページだけにする関数を functions.php に追記
<関数>
add_action( ‘wp_enqueue_scripts’, function() {
if(is_page(‘contact’)) return;
wp_deregister_script( ‘google-recaptcha’ );
});
◆「Invisible reCaptcha」
URL:https://naoto-biz.com/invisible-recaptcha-for-wp/
フォームにチェックボックスが表示されるタイプ
自分のサイト「晒柿」は先の文字入力と日本語が~でブロックできているけど、 reCAPTCHA 対策をし、メールフォームを設置したクライアントさんたちへもスパム対策のメールを送り、ご自分でできない方には返信順に対処していきます。
一時期は不調だったPCが沈静化している間に、やり残したことのないようにと思う日々です。