WEBサイトにお問い合わせフォームを設置していると、フォームから送られてくる迷惑メールにうんざりしている方もいるかと思います。
迷惑メール対策として、WordPressにデフォルトでインストールされている「Akismet」を使用している方もいるかもしれませんが、Akismetは【商用利用は無料利用不可】という規約になっています。
そこでおすすめなのが、Cloudflare提供の「Turnstile」です。
WordPressのお問い合わせフォームプラグイン「ContactForm7」への設定方法をご紹介します。
お問い合わせフォームは迷惑メール対策が必須
理由1:迷惑メールが毎日届く
セキュリティ対策を何もしていないお問い合わせフォームをWEBサイトに設置していると、迷惑メールが毎日のように届きます。酷い時には一日で十件以上の迷惑メールが届くこともあります。
お客様からの問い合わせや注文を受けるためにフォームを設置しているのに、迷惑メールばかりでは、肝心のお客様からのメールに気付けずにスルーしてしまう可能性があります。
自分の体験として、Googleに公開する前(検索エンジンにインデックスしない設定の時)から迷惑メールは届いていました。全文英語の海外からのメールが多いですが、日本語の営業メールも沢山届きます。
何かしらの方法でお問い合わせフォーム設置のWEBサイトを探し出して、とにかく機械的にメールを送り付けてきていると考えられます。
理由2:フォームを悪用されて自身が加害者になる
最近の事例として、お問い合わせフォームの正規の機能を悪用して迷惑メールを第三者に送り付け、フォームを設置しているWEBサイト管理者である【あなた自身】が加害者にされてしまうケースが出ています。
手口は非常に古典的で、フォームから問い合わせをした際に送信される「お問い合わせありがとうございました」メールを悪用します。
1.お問い合わせした人のメールアドレス欄に、スパムメールを送りたいメールアドレスを入力
2.お問い合わせ内容にフィッシングサイトや広告のリンクを入力
3.送信ボタンをクリック
4.お問い合わせありがとうございました!の確認メールが1で入力したアドレスに送信される。問い合わせ内容も含んだ自動返信が送られるので、結果的に広告メールを他人のサーバーから送信できるこれをプログラムで何千、何万件と自動実行します。何が起きるかと言うと、全く関係ないフォームが置いてあるだけのサイトのサーバーから、任意のメールアドレスに大量のメールを送信することができるようになるのです。
Webサイトのフォームで悪用被害急増中!加害者にならないためのフォーム設置講座 | さくらのホームページ教室
自分が勝手に加害者に仕立て上げられないようにするためにも、お問い合わせフォームには迷惑メール対策を施しましょう。
Cloudflare Turnstileとは
お問い合わせフォームの迷惑メール対策としては、以前はGoogle提供の「reCAPTCHA」が定番でした。
しかし2025年8月1日以降、「reCAPTCHA」の無料でのセキュリティチェック回数が大幅に縮小されました。(月間100万件→1万件に減少)
通常時であれば問題ありませんが、攻撃者から標的にされた場合、無料の回数を超えてしまう可能性があります。
そのため、完全無料で同等のセキュリティチェックができる「Cloudflare Turnstile(クラウドフレア ターンスタイル)」への設定変更をおすすめしています。
特に「Contact Form 7」では、公式からも「Cloudflare Turnstile」への切り替えがおすすめされています。
Turnstile は Cloudflare によるスマートな CAPTCHA 代替サービスです。Contact Form 7 は Turnstile とのインテグレーションモジュールを提供し、あなたのフォームをスパムボットから守ります。Google reCAPTCHA とは異なり Turnstile は無料で利用できます。reCAPTCHA を使うべき理由が特にないのであれば Turnstile を選択してください。
引用元:Cloudflare Turnstile インテグレーション | Contact Form 7 [日本語]
- 自動的に人間か bot かを自動的に判別する。
(ボット:自動化された行動を実行するアプリケーション。) - bot(ボット) と判断された場合、行動(フォームの送信等)はブロックされる。
- 無料で利用可能。
- WordPressプラグインを利用すれば設定が簡単。
迷惑メールの殆どは、bot(ボット)と呼ばれる、機械的に指定された行動を実行するアプリケーションが送信しています。人間がフォームに手作業で入力して送信している訳ではありません。
Cloudflare Turnstile を設定すると、人間か機械かを自動判別して、機械が送付してくる迷惑メールを排除してくれるのです。
Cloudflare Turnstile をContactForm7に設定する方法
Cloudflare Turnstile 側の操作
Cloudflare Turnstileのサイトにアクセスし、「利用開始」ボタンクリック
https://www.cloudflare.com/ja-jp/application-services/products/turnstile/
ロード画面が表示されるので、少し待ちます。
ログイン画面になるので、「Googleで続行」または「メールとパスワード」を入力して「サインアップ」ボタンクリック
Googleアカウントで認証する場合、Googleアカウントを選択し、権限を認証して「次へ」ボタンクリック
Cloudflare Turnstileの管理画面にログインされます。ポップアップは「×」ボタンクリックで全て閉じます。
画面が英語表示の場合は、画面右上の人アイコン -> Language -> 日本語 選択で日本語表示になります。
Turnstileウィジェットで「ウィジェットを追加」ボタンクリック
ウィジェット追加画面になります。
「ウィジェット名」を「○○○ホームページ」のように自由に入力します。
「ホスト名の追加」ボタンクリック
ホスト名の追加画面になります。
「○○○.com」のようにドメイン名を入力し「追加」ボタンクリック
追加されたホスト名(ドメイン)をチェックONにし、「追加」ボタンクリック
画面にホスト名(ドメイン)が追加されます。
ウィジェットモードが「管理対象」になっていることを確認して、「作成」ボタンクリック
「サイトキー」「シークレットキー」の2つが表示されるので、手元に控えてください。後程WordPressの方に入力します。
※もし、この画面を閉じてしまった場合でも、後からキーを確認することができます。
この記事内の「サイトキー・シークレットキーが分からなくなった場合」を確認してください。
WordPress 側の操作
お問い合わせフォーム -> インテグレーション -> Turnstile インテグレーションのセットアップ
先程控えた「サイトキー」「シークレットキー」を入力。
「変更を保存」ボタンクリック
お問い合わせフォームの上部に Cloudflare Turnstile が表示されています。
reCAPTCHAの設定を削除する場合
元々reCAPTCHAの設定をしていた人は、設定を削除します。
お問い合わせフォーム -> インテグレーション -> reCAPTCHA インテグレーションのセットアップ
「キーを削除」ボタンクリック
reCAPTCHAのキーが削除され、設定画面に戻ってきます。
これで完了です。
サイトキー・シークレットキーが分からなくなった場合
Cloudflare Turnstile の画面を閉じてしまった場合でも、サイトキー・シックレートキーを後から確認することはできます。
Cloudflare Turnstileのサイトにアクセスし、「利用開始」ボタンクリック
https://www.cloudflare.com/ja-jp/application-services/products/turnstile/
ログイン画面になるので、「Googleで続行」または「メールとパスワード」を入力して「サインアップ」ボタンクリック
該当ウィジェットで「分析を表示」リンククリック
「ウィジェットを管理する」リンククリック
画面下部にサイトキー・シックレットキーが表示されるので、この2つをWordPress側に設定します。
(シークレットキーは右上の「表示」ボタンでコピーできるようになります。)
まとめ:迷惑メール対策は難しくない!ほんのひと手間かけて対策を設定しよう
大量の迷惑メールが届くと、折角のお客様からのお問い合わせをスルーしてしまう場合もありますし、届いたメール内のURLをうっかりクリックしてウイルス感染してしまう危険もあります。
私自身、日々届く迷惑メールにうんざりしていましたが、Cloudflare Turnstile を設定してからはストレスフリーになりました。
Cloudflare Turnstile の設定は無料で実施でき、設定方法もプラグインを利用すれば難しくありません。
ひと手間かかりますが、是非設定しましょう。
