2020年5月15日現在利用しているサーバーである「ヘテムル」から、「【heteml】[注意喚起]WordPressプラグイン「Contact Form」へのセキュリティ対策のお願い」というタイトルのメールが届いた。
メールの内容は上記である。
近日、WordPressのプラグイン「Contact Form」で作成いただいた メールフォームに対し、外部からのスパム行為(攻撃)が確認されています。
現状「Contact Form」において不正なメールの大量配信が行われた場合、 外部のブラックリストサービスにおいて検知、Webサーバーがブラックリストに 登録される状況も発生しています。
このブログでも採用している「Contact Form」のメールフォームに対して外部からのスパム行為(攻撃)が確認されているというものである。
恐ろしくなった。ブログのお問い合わせフォームからお問い合わせが届けば、Gmailで連絡する設定にしてあるが、確かに近頃その通知が多い。
■対策として「reCAPTCHA での対策」を行ってみる
外部からのスパム行為(攻撃)の対策として、reCAPTCHA(リキャプチャ)を採用してみることにする。reCAPTCHA(リキャプチャ)は、カーネギーメロン大学ピッツバーグ本校で開発、そのGoogleがこれを買収。WEBサイトにアクセスを試みるボットからサイトを防御するためのものである。
採用するためには、まず「reCAPTCHA: Easy on Humans, Hard on Bots(https://www.google.com/recaptcha/intro/v3.html)」のサイトへアクセスする。なお、reCAPTCHA(リキャプチャ)を採用するためには、事前にGoogleアカウントの作成を行っておく必要がある。
アクセスし、青水色の「Admin console」ボタンをクリックする。
クリックすると「新しいサイトを登録する」画面となる。この画面で「ラベル(サイトタイトルなど)」、「reCAPTCHA タイプの選択(reCAPTCHA v3,reCAPTCHA v2)(今回はreCAPTCHA v3を選択する。)」、「ドメイン(reCAPTCHAを採用するドメイン)の入力」。
次に「オーナー(Googleアカウントに登録した際のメールアドレスが表示)(メールアドレスを追加することも可能)」、「reCAPTCHA 利用条件に同意する(利用条件を確認しチェックを入れる)」、「不審なトラフィックの増加などの場合、”アラートをオーナーに送信する”(自動的にチェックボックスにチェックが入る)」の項目をチェック・確認し、問題がなければ青水色の「送信」ボタンをクリックする。
クリックすると、「サイトに reCAPTCHA を追加する」という画面になります。この画面で「サイトキー」と「シークレット キー」が発行されているので、この発行された情報を記録するためにコピーしておきます。
WordPressの「Contact Form」からreCAPTCHA をサイト上で有効化してみる
reCAPTCHAを追加するWordpressの管理画面に移動します。
管理画面の左側メニューから「お問い合わせ」をクリックします。
クリックするとさらにメニューが表示されますので、こちら「インテグレーション」をクリックします。
クリックすると、「他のサービスとのインテグレーション」の画面になります。この画面で「reCAPTCHA」の「インテグレーションのセットアップ」ボタンをクリックします。
クリックすると、「reCAPTCHA」の”サイトキー”と”シークレットキー”を入力できますので、先程の「reCAPTCHA: Easy on Humans, Hard on Bots」のサイトで発行したサイトキーとシークレットキーを入力し、間違いがなければ「変更を保存」ボタンをクリックする。
クリックすると、「reCAPTCHA」のところに「reCAPTCHA はこのサイト上で有効化されています。」という表示がされる。これでWordpressの「Contact Form」からreCAPTCHA をサイト上で有効化が完了となる。
■サイトを確認してみる
WordPressの「Contact Form」からreCAPTCHA をサイト上で有効化したが、ちゃんと有効できているか確認してみる。
有効化されたサイトにアクセスすると、右側にreCAPTCHAのマークが表示されている。このマークをクリックしてみる。
クリックしてみると、「reCAPTCHAで保護されています」という文章が表示されていることが確認できた。
まとめ
「Contact Form」からreCAPTCHAをサイト上で有効化してみたが、しばらく様子を見てみる。
コメントスパム対策として、「Throws SPAM Away」プラグインも入れているが、今回はメールフォームに対し、外部からのスパム行為(攻撃)を受けているので、スパマーもありとあらゆる手段を使って、このブログをスパム行為(攻撃)したいようだ。
今回の対策が効かなければ他の対策を考えて実行する。
コメント