新規サイトを立ち上げた翌日、問い合わせフォームから届いたのは「ビジネスパートナー募集」「SEO対策いかがですか」といった営業メール。まだ誰にも告知していないのに、なぜこんなメールが届くのか。その違和感の正体は、ボットによる自動巡回です。対策を後回しにすれば、受信トレイは営業メールで埋まり、本当に必要な問い合わせを見逃すリスクが高まります。この記事では、WordPressで新規サイトを立ち上げた当日からできる、設定が簡単な順に5つのスパム対策を紹介します。
なぜ新規サイトはスパムメールの標的になるのか
新規サイトがスパムの標的になりやすい理由は、ボットが24時間体制でインターネット上のフォームを自動巡回しているからです。
ドメインを取得してサイトを公開すると、検索エンジンのクローラーだけでなく、スパム目的のボットもほぼ同時にアクセスしてきます。特にContact Form 7は世界中で利用されているプラグインのため、ボットにとっては「見つけやすい標的」になります。
デフォルト状態のContact Form 7には、reCAPTCHAやスパムフィルターが組み込まれていません。フォームの構造もシンプルで、ボットが自動入力しやすい設計です。つまり、何も対策しなければ、公開した瞬間から営業メールやスパムが届き始める構造になっています。
新規サイトだからこそ、立ち上げ当日に最低限の対策を施しておく必要があります。
スパム対策を後回しにするリスク
スパム対策を後回しにすると、いくつかの具体的なリスクが発生します。
まず、受信トレイが営業メールで埋まります。毎日数十件のスパムが届くようになると、本当に必要な問い合わせを見逃す可能性が高まります。特に、サイト立ち上げ直後は真剣な問い合わせが混ざりやすいタイミングです。その中に埋もれた1通を逃すことは、ビジネス機会の損失に直結します。
次に、サーバー負荷による速度低下のリスクです。Contact Form 7は送信のたびにメール送信処理を実行します。スパムボットが短時間に大量送信を繰り返すと、サーバーリソースが圧迫され、サイト全体の表示速度が遅くなることがあります。
さらに、迷惑メールフィルターに引っかかるリスクも見逃せません。自分のドメインから大量のメールが送信されていると判定されると、メールサーバーの評価が下がり、今度は自分が送る正規のメールが相手の迷惑メールフォルダに振り分けられる可能性があります。
スパム対策は「後でやろう」ではなく、「立ち上げ当日にやること」として扱うべきタスクです。
設定が簡単な順に5つの対策方法
ここからは、プラグインの追加が不要な方法から順に、実際に設定できる5つの対策を紹介します。
WordPress標準の「ディスカッション」設定でNGワード・IP拒否
最も手軽な方法は、WordPressに標準搭載されている「ディスカッション」設定を使うことです。プラグインの追加が不要で、管理画面からテキストを入力するだけで設定できます。
本来はコメント欄用の機能ですが、Contact Form 7にも適用されます。
設定手順は以下の通りです。
WordPress管理画面のサイドメニューから「設定」→「ディスカッション」をクリックします。ページ内に「コメント内で許可されないキーワード」という項目があるので、そこにスパムでよく使われる単語を1行に1つずつ入力します。
例えば、「弊社」「ビジネスパートナー」「SEO対策」「http」などです。IPアドレスやドメインも同様に入力できます。入力後、ページ下部の「変更を保存」をクリックすれば完了です。
この設定により、登録したキーワードやIPアドレスが含まれる送信はブロックされます。ただし、正規の問い合わせに含まれる可能性のある単語は避けるよう注意が必要です。
Contact Form 7の「承諾確認」チェックボックス設置
次に簡単なのは、Contact Form 7のフォーム編集画面でチェックボックスを追加する方法です。ユーザーに手動でチェックを入れさせることで、一部の自動化されたボットによる送信を防ぎます。
設定手順は以下の通りです。
Contact Form 7のフォーム編集画面を開き、タグ生成ボタンの中から「承諾確認」をクリックします。設定ウィンドウが表示されたら、同意条件として「入力内容を確認しました」などのテキストを入力します。
ここで重要なのは、「チェックボックスをチェック・オフにする」のチェックを外すことです。これにより、チェックが必須の状態になります。タグを挿入したら「保存」をクリックして完了です。
この方法では、ユーザーがチェックボックスをオンにしない限り送信ボタンが押せなくなるため、確認を促すと同時にスパム対策としても機能します。設定は1分程度で完了します。
スパム対策プラグイン「Akismet」との連携
WordPressに標準で入っていることが多い「Akismet」を利用する方法です。APIキーの設定さえ済めば、自動的にスパムを判別してくれます。
設定手順は以下の通りです。
プラグイン「Akismet Anti-Spam」を有効化し、公式サイトでAPIキーを取得します。無料版も提供されているため、個人サイトであれば費用はかかりません。APIキーを設定すれば、Contact Form 7との連携は基本的に自動で行われます。
念のため手動設定する場合は、フォーム編集画面で各項目にオプションを追加します。
氏名欄には[text* your-name akismet:author]、メール欄には[email* your-email akismet:author_email]、URL欄には[text your-url akismet:author_url]といった形式でタグを記述します。
この設定により、既知のスパムデータベースと照合し、怪しい送信を自動的にブロックまたは迷惑メール判定します。Akismetは数億件のスパムデータを学習しているため、精度が高いのが特徴です。
拡張プラグイン「Spam Protect for Contact Form 7」の導入
特定のメールアドレスやドメイン、単語を指定して完全にブロックしたい場合は、専用プラグイン「Spam Protect for Contact Form 7」が有効です。ノーコードで設定できます。
設定手順は以下の通りです。
プラグイン「Spam Protect for Contact Form 7」をインストール・有効化します。Contact Form 7の編集画面に「Antispam Settings」タブが追加されるので、そこを開きます。
以下の欄にブロックしたい情報を入力します。
メールアドレス欄には、ブロックしたいアドレスを入力します。ドメイン欄には@example.comのようにドメインを入力すれば、そのドメインからのすべての送信を拒否できます。カンマ区切りで複数指定も可能です。
NGワード欄には、ブロックしたい単語やフレーズを入力します。必要に応じて「Set your error message」にエラーメッセージを入力し、保存すれば完了です。
この方法は、繰り返し同じドメインからスパムが届く場合に特に有効です。
Contact Form 7の「その他の設定」で送信制御(上級者向け)
最後は、プラグインを使わず、Contact Form 7の設定タブにコードを追記して物理的な送信制限をかける方法です。少し専門的ですが、効果は高いです。
設定手順は以下の通りです。
Contact Form 7の編集画面で「その他の設定(Additional Settings)」タブを開きます。以下のいずれか、または両方のコードを記述します。
秒数制限を設定する場合は、submit_time_limit: 60と入力します。これにより、ページを開いてから60秒以内の高速送信(ボット特有の挙動)をブロックできます。数字は秒数なので、状況に応じて調整可能です。
IPブロックを設定する場合は、blacklist_ip: xxx.xxx.xxx.xxxと入力します。特定のIPアドレスからの送信を完全に拒否できます。
記述したら「保存」をクリックして完了です。
この方法では、人間には不可能な速度で入力・送信してくるボットや、特定の迷惑IPアドレスからの送信をシステム的に弾くことができます。
複数の対策を組み合わせる理由
ここまで5つの対策を紹介しましたが、完璧な対策は存在しません。
ボットは日々進化しており、1つの対策だけでは突破されるリスクがあります。そのため、複数の対策を組み合わせた多層防御が効果的です。
例えば、WordPress標準の「ディスカッション」設定でNGワードを登録し、さらにContact Form 7に「承諾確認」チェックボックスを設置する。この2つを組み合わせるだけでも、スパムは大幅に減少します。
運用が進むにつれて、どのタイプのスパムが多いかが見えてきます。その時点で、AkismetやSpam Protectといったプラグインを追加したり、特定のIPをブロックしたりと、状況に応じて調整していくのが現実的です。
負荷と効果のバランスを考えながら、自分のサイトに合った組み合わせを見つけていくことが重要です。
まとめ:新規サイト立ち上げ当日にやるべきこと
新規サイトを立ち上げたその日に、最低限やっておきたいのは以下の2つです。
1つ目は、WordPress標準の「ディスカッション」設定でNGワードとIPアドレスを登録すること。プラグイン不要で、5分あれば設定できます。
2つ目は、Contact Form 7に「承諾確認」チェックボックスを設置すること。これも1分程度で完了します。
この2つを設定するだけで、スパムの8割程度は防げます。残りの2割については、運用しながら状況を見て、AkismetやSpam Protectといったプラグインを追加していけば十分です。
スパム対策は完璧を目指すのではなく、「最低限の防御ラインを早期に構築する」という姿勢で取り組むのが現実的です。サイトを立ち上げたその日に、この記事を参考に設定を済ませておけば、翌日から安心して運用に集中できます。
WordPressサイト運用を丸ごと任せたい場合
スパム対策を含むWordPressサイトの運用全般を効率化したい場合、AI人格®を活用したWeb運用という選択肢もあります。
今回紹介した対策は、いずれも「自分で設定する」ことを前提としていますが、サイト立ち上げ直後は他にもやるべきタスクが山積みです。セキュリティ設定、SEO対策、コンテンツ更新、アクセス解析の設定など、WordPress運用には継続的な作業が発生します。
Mirai&のAI人格®Web運用では、サイト立ち上げからコンテンツ更新、セキュリティ対策まで一貫して対応可能です。スパム対策についても、最適な設定を初期段階で施したうえで、運用中のメンテナンスまでサポートします。
自分で設定する時間を確保できない、あるいはWordPress運用全般を効率化したいという場合は、AI人格®Web運用サービスをご覧ください。
