ブログ

Information&Blog

友だち追加

「Contact Form 7」の脆弱性によるボット攻撃対策
更新日:

最近、WordPressのお問い合わせフォーム作成に広く利用されている「Contact Form 7」に対してボットによる攻撃が増えてます。
プラグインのアップデートが行われず放置されたままのサイトが攻撃対象になっているのでしょう。

おそらく「Contact Form 7」の拡張プラグインである「Redirection for Contact Form 7」の脆弱性を突いた攻撃と思われます。

1つ目の脆弱性は「Unauthenticated Arbitrary Nonce Generation」で、この脆弱性を利用すると攻撃者はログイン状態に関わらず任意のアクションに対する有効なNonce(ノンス)を生成することができます。

2つ目の脆弱性は「Authenticated Arbitrary Plugin Installation」で、これを利用すると、認証済みの攻撃者(サブスクライバーレベルの権限さえあれば)は、WordPressリポジトリから任意のプラグインをインストールすることができます。

3つ目の脆弱性は「Authenticated PHP Object Injection」で、「Authenticated Arbitrary Plugin Installation」の脆弱性と同じく、「import_from_debug」関数が影響を受けます。

これらの脆弱性を利用する事で、攻撃者は任意の関数に対してノンス(セキュリティトークン)を生成したり、認証済みの攻撃者が任意のプラグインをインストールし、PHPオブジェクトを挿入することが可能です。

これにより、メール送信プラグインをインストールし大量のスパムメール送信が行われている可能性があります。

しかし「Contact Form 7」プラグインは、2021年2月にこの脆弱性を修正するアップデートをリリースしていますので、以下に「Contact Form 7」に対するボット攻撃対策としてプラグインのアップデートとreCAPTCHAを導入する方法をご紹介します。

「Contact Form 7」のアップデート

WordPressの管理画面にログインし、「プラグイン」メニューから「Contact Form 7」を探します。
もしもアップデートが利用可能であれば、最新バージョンにアップデートしましょう。
これによって脆弱性が修正され、セキュリティが強化されます。

reCAPTCHAの設定

Googleが提供するreCAPTCHAを使用して、お問い合わせフォームにボット攻撃を防ぐ仕組みを導入します。
まず、Google reCAPTCHAの公式ウェブサイトにアクセスし、サインアップまたはログインします。

reCAPTCHAのサイトキーとシークレットキーの取得

reCAPTCHAの設定ページから、サイトキーとシークレットキーを取得します。
これらのキーは、お問い合わせフォームにreCAPTCHAを統合する際に使用します。

「Contact Form 7」の設定

WordPressの管理画面で、「Contact」メニューから「Contact Forms」を選択し、お問い合わせフォームの一覧が表示されるページに移動します。
編集したいお問い合わせフォームを選択し、「編集」をクリックします。

reCAPTCHAの追加

お問い合わせフォームの編集画面で、「reCAPTCHA」タブを選択します。
サイトキーとシークレットキーを入力し、「保存」をクリックします。

これで、お問い合わせフォームにreCAPTCHAが導入され、ボットによる攻撃からの保護が強化されます。

以上が、「Contact Form 7」に対するボット攻撃対策としてプラグインアップデートとreCAPTCHAを導入する手順です。
reCAPTCHAを導入することで、お問い合わせフォームのセキュリティを向上させ、スパムメール送信などを抑制することができます。
ホームページのセキュリティを確保するために、この対策を実施してください。

検索ボックスへキーワードを入力してください

ホームページの作成、更新、SEOに関する
お問い合わせ・お見積もり依頼は、
電話もしくはフォームでも受け付けております。

0120-781-437

受付時間 平日 9:00~18:00

メールでのお問い合わせはこちら