あるウェブサイト制作会社スタッフの方からのご相談です。
お客様のウェブサイトでは、毎週、迷惑メール(迷惑投稿?)が届きます。WordPressで仕立てたウェブサイトで、Contact Form 7というプラグインで問い合わせフォームをつけてあります。数は週に3〜5件くらいです。手動で削除してもいいのですが、目障りなので防ぐ手段はないでしょうか?
その他のプラグインは、Akismet、Flamingoは入れています。
今回はこんなご相談にお答えします。
ちなみにAkismetとFlamingoというのはWordPressプラグインです。Akismetはコメントなど全体のスパム避け、Flamingoはフォーム送信内容を記録するものです。
[対処1] reCAPTCHA(リキャプチャ)を入れましょう
どこかのウェブサービスにログインするときに「私はロボットではありません」という表示を見たことがありませんか?「信号機の写真をクリックしてください」とか何か指示があって、正解できたらログインできます。あるいは、特に何も言われないこともあります。
あの機構を、問い合わせフォームに取り入れましょう。
reCAPTCHA(リキャプチャ)とは
reCAPTCHA(リキャプチャ)をログインフォームや問い合わせフォームに備え付けると、自動化された悪質なプログラム(ボット)がログインや投稿を行うのを制限することができます。
Googleが運営していて、個人でも登録すれば使えるようになります。
導入も比較的簡単なので、大手企業をはじめ多くのウェブサイトで利用されています。
仕組みをめちゃざっくり説明しますと、「横断歩道の画像を選んでください」なんて指示は、自動プログラムにとっては正解するのがかなり難しいのです。でも人間が目で見れば簡単です。正解すれば人間の動作だなと判断して送信を可能にします。
reCAPTCHA(リキャプチャ)を入れるに当たって検討すべきこと
そんな便利なreCAPTCHAですが、便利だからといって考えなしに飛びつくのはいけません。もし導入するなら、次の3つの問題について検討してください。
アクセシビリティの問題
reCAPTCHAのようなこの手の技術一般についてですが、視覚障害のある人が使うテキスト読み上げブラウザなどでは非常に使いにくく、適切な設定がされていないとアクセス自体を妨げることさえあります。
「そんな人たちのアクセスなんて多くないから無視していいよね」とスルーされがちな問題ですが、本当にそれでいいのでしょうか?企業姿勢が問われる選択でもあります。
完璧の鉄壁ではない
Googleのシステムだしこれさえ入れればもう二度と絶対に迷惑メールは来ないよね!と考えるのは間違いです。reCAPTCHAも前のバージョンでは自動突破できるプログラムが存在しました。
また、reCAPTCHAで防げるのは自動的プログラムのアクセスだけです。人間が手動で入力するスパムは防げません。望まない逆営業メールとか、悪戯入力とか、そういうものはどうしようもないです。
アイコン表示にまつわる問題
reCARTCHAを導入すると、現行のバージョンではアイコンが常に右下に表示されるようになります。
右下のアイコンの位置は、よく「上に戻るボタン」や「チャット問い合わせ」などを表示させる位置でもあります。表示がかぶってしまってひどいことになっているウェブサイトを時々見ます……(悲しい)。
ご相談のケースでは、WordPressの問い合わせフォームプラグインの有名どころ、Contact Form 7を利用されています。これにreCAPTCHAの設定欄もついているので、ここまでなら導入は非常にかんたんです。
ただ、これでは問い合わせフォーム以外のすべてのページにもアイコンが表示されます。そうではなくて問い合わせページにだけ表示させたい……と思うならば、WordPressのテーマファイルを改造するなどプログラム的な工夫が必要です。
「導入は比較的簡単」とは述べましたが、こうなるとまったくの素人ではさすがにできないでしょう。ウェブ技術のわかっている人に依頼する必要が出てきます。
reCAPTCHA(リキャプチャ)を導入するなら、以上のことをわかった上ですすめましょう。
[対処2] 大量スパムはIPブロックなどで対処を
今回の相談のケースとは少し違いますが、同じ場所の同じプログラムから短時間に大量に迷惑メールが届いているようなら、事態はもうちょっと深刻です。
reCAPTCHAだけではなくて、特定のIPアドレスからのアクセス自体を遮断する対処が必要かもしれません。
WordPressの場合は、WordFenceというプラグインが使えます。そのほかには、ウェブサーバーの設定ファイル(.htaccessなど)を使うか、またはサーバーの運営会社がセキュリティ機能を提供している場合もあります。
いずれにせよ、この場合もまったくの素人では対応は難しそうです。
[対処3] 問い合わせフォームはシンプルすぎてはダメ。工夫をする
技術的な話のほかに、問い合わせフォームそのものに改善の余地があるかもしれません。
お問い合わせフォームはシンプルであればあるほどいい、というのは間違いです。その方が客の入力が楽に済むので……と考える人が一般には多いですが、じつはそこが落とし穴です。
名前・メールアドレス・本文の3つの入力欄しかない「超シンプルフォーム」では、残念ながら迷惑メール(迷惑投稿)を誘っていると言わざるを得ません。
場合によりますが、たいていは問い合わせフォームはもっと複雑にすべきです。迷惑メールを防ぐ意味でも、ウェブサイトを商売に役立てる意味でも。
超シンプルフォームでは、訪問者はかなり自由に入力できます。しかもCAPTCHAも設定されてないとなれば、迷惑投稿者からすれば願ったり叶ったりです。
こうして「製品についての問い合わせをしてもらうためにフォームをつけたのに、関係ない逆営業や海外からの謎メールが度々来る」という結果が生まれるのです。
また、問い合わせを売上につなげる意味でも、複雑なほうが客の要望を正しく汲み取れます。これについては長くなるので、また別の記事で書くことにします。
フォームを複雑にするには、こんな工夫が考えられます。
- 入力必須欄を増やす
- 選択項目を増やす
- 最後にプライバシーポリシーなどを入れておいて、確認ボタンを押すことで送信が可能にする
- ターゲットが狭い商売ならば、特定の職業の人かどうかを事前に入力させる
- メールアドレスのフィルタリング(捨てメアドを入力させない、企業ドメインのみ受け付ける、など)
もちろん、無闇矢鱈に複雑にしても意味ありません。客の要望を的確に汲み取れる項目は何かを考慮しながら、慎重に決めましょう。
そもそも、迷惑メールは完全には防げない
reCAPTCHAの導入、フォーム内容の改善。迷惑メールはそれでも完全になくすことはできません。ウェブサイトは公開の場であり、誰でもアクセスすることができる以上、ある程度仕方ないことです。
なので、迷惑メールを取り除くことにあまりに力を割きすぎるのは問題です。
指示をする側も、「迷惑メールが100%無いようにしろ」とは決して言ってはなりません。無理だからです。
今回のケースではAkismetとFlamingoというWordPressプラグインをすでに導入されているとのことでした。特にAkismetは、スパム対策に広く使われているものです。これにreCAPTCHAも導入すれば、一般的にやるべきことはやった、と言っていいと思います。
それよりも有効な問い合わせを増やして、迷惑メールの存在そのものを薄めてしまおう、と考えたほうが建設的ではないでしょうか。
そもそも、迷惑問い合わせって何なのでしょうか? あからさまに業務に関係のないポルノサイトの宣伝とかならば誰がどうみても迷惑メールに違いないんですが、「的外れな内容の問い合わせ」となれば、どうでしょうか?
もしかしたら、ウェブサイトの作りかたが悪いのかもしれません。訪問者に、御社の業務の姿が正しく伝わっていないかもしれません。文章の書き方、伝え方を再検討し、ウェブサイト自体を改善する余地はいつでもあることをご承知おきいただければと思います。
まとめ
この記事でお伝えしたかったことは次のとおりです。
- 問い合わせフォームにreCAPTCHAを導入すると、ボットによる迷惑送信を防げます。
- reCAPTCHAの導入には、ウェブ技術者の力が必要になる場合があります。
- 短時間に大量のスパムが来る場合は、それ以外のセキュリティ対策も必要です。
- 手動による迷惑問い合わせを防ぐには、フォームの内容をもっと複雑にしましょう。
- 迷惑メールをゼロにすることはできません。それよりも有効な問い合わせを増やすことに力を使いましょう。
