WordPress で運営している企業サイトに大量のスパムメールやスパムコメントが届いて困っていませんか? 問い合わせフォームに意味不明な投稿が連日送信されたり、記事コメント欄に宣伝目的の迷惑投稿が増えたりすると、本来の顧客対応に支障をきたしてしまいます。
放置すればサイトの品質低下や検索エンジンからの評価悪化にもつながりかねません。しかし、専門的な知識がないとどこから手をつければよいのか分からないのが現実でしょう。
この記事では、WordPress サイトで発生する主要なスパムの種類と、それぞれに対応した効果的な対策方法を初級から上級まで段階的に解説します。さらに、対策を「やりっぱなし」で終わらせず、継続的にスパム被害を防ぐ運用のコツもお伝えします。専門知識がなくても実践できる内容で、企業サイトの品質向上と業務効率化を実現しましょう。
目次
WordPress サイトにおける代表的なスパムの種類と対策
企業の WordPress サイトでは、さまざまな種類のスパム攻撃に遭遇する可能性があります。それぞれの特徴を理解し、適切な対策を講じることが重要です。
コメントスパム
WordPress で最も頻繁に遭遇するスパムがコメントスパムです。記事に対して投稿される迷惑コメントで、外部サイトへの誘導リンクや宣伝文句が含まれることが多く見られます。
放置するとサイトの品質低下や検索エンジンからの評価悪化につながります。コメント機能を完全に無効化する方法もありますが、読者とのコミュニケーション機会を失うデメリットがあるため、適切なフィルタリング機能を活用した対策が推奨されます。
初級|コメント承認制で公開前にチェック
WordPress 管理画面で「設定」→「ディスカッション」から「コメントを手動で承認する」を有効化しましょう。全コメントが管理者承認後に公開されるため、スパムコメントの流入を防げます。
ただし、すべてのコメントを手動チェックする必要があるため、運用負荷が高くなるデメリットもあります。コメント数が多いサイトでは他の対策との併用を検討してください。
初級|禁止ワードやブラックリストで特定パターンをブロック
「ディスカッション設定」でスパムによく使われるキーワード(「出会い系」「副業」「http://」など)や特定の IP アドレスをブラックリストに登録できます。該当するコメントを自動的にスパム扱いにする機能です。
業界特有のスパムワードがある場合は、それらも追加することで効果的な対策が可能になります。ただし、正当なコメントまで誤ってブロックしないよう、設定には注意が必要です。
中級|Akismet・Antispam Bee などで自動フィルタリング
Akismetは機械学習でスパムを判定する定番プラグインです。世界中のWordPressサイトから収集されたデータをもとに、高精度でスパムコメントを検知・隔離します。Contact Form 7をはじめ、幅広いフォームプラグインと統合できる点も大きなメリットです。
Antispam Bee は GDPR 対応でヨーロッパでも安心して使える代替選択肢です。ただし、Jetpack コメント、Disqus、Contact Form 7などとの互換性がない点に注意が必要です。どちらもコメント内容を自動解析してスパムを検知するため、管理者の負担を大幅に軽減できます。
超上級|専門家による診断で見落としている脆弱性を発見
上記で紹介した対策ではスパム被害を大幅に軽減できますが、WordPress 本体やプラグインの脆弱性、カスタマイズ箇所のセキュリティホールまでは発見できません。自社での対策に限界を感じたら、専門家による脆弱性診断がおすすめです。
【実例|基本対策だけでは防げなかったケース】
ある企業サイトでは、Akismet による自動フィルタリングを実施していたものの、コメントスパムが完全には止まりませんでした。脆弱性診断により、使用していない古いコメント関連プラグインに脆弱性があり、そこを突いた攻撃が発生していたことが判明しました。
トラックバックスパム / ピンバックスパム
トラックバック・ピンバックは他のサイトが自分の記事にリンクした際に自動通知される機能ですが、この仕組みを悪用したスパム攻撃が頻発しています。偽の被リンク通知や宣伝目的の不正通知が大量に送られてくるケースが多く見られます。
現在は SNS での情報共有が主流となっており、トラックバック・ピンバック機能の重要性は低下しているため、思い切って無効化するのも有効な選択肢です。
初級|トラックバック・ピンバックの無効化
「ディスカッション設定」で「他のブログからの通知を受け取る」「新しい投稿に対し他のブログからの通知を試みる」のチェックを外しましょう。機能自体を無効化することで、スパム送信元を根本的に断つことができます。
この設定により、トラックバック・ピンバックスパムを完全に遮断できますが、正当な通知も受け取れなくなる点は理解しておきましょう。
中級|不明・怪しいサイトからの通知をブロック
トラックバック・ピンバックを完全無効化できない場合、送信元サイトのドメインやIPアドレスをチェックしましょう。明らかに怪しいサイトからの通知は個別にブロックする対応も有効です。
定期的に通知一覧を確認し、不審なサイトからの通知パターンを把握することで、より精密なブロック設定が可能になります。
中級|スパム判定後の自動削除設定
Akismet などのプラグインでスパム判定されたトラックバックを一定期間後に自動削除する設定を行いましょう。手動削除の手間を省き、データベースの肥大化も防げます。
削除期間は30日程度に設定することで、誤判定された場合の復旧可能性も確保できます。
超上級|専門家による診断で見落としている脆弱性を発見
上記で紹介した対策ではスパム被害を大幅に軽減できますが、WordPress 本体やプラグインの脆弱性、カスタマイズ箇所のセキュリティホールまでは発見できません。自社での対策に限界を感じたら、専門家による脆弱性診断がおすすめです。
【実例|基本対策だけでは防げなかったケース】
トラックバック・ピンバック機能を無効化していたにもかかわらず、スパム通知が届き続けていた企業サイトがありました。診断の結果、過去に使用していた SNS 連携プラグインが無効化されただけで削除されておらず、そのプラグインの脆弱性を突かれていたことが判明しました。
登録フォーム・問い合わせフォームスパム
Contact Form 7 や Gravity Forms などで作成した問い合わせフォームや会員登録フォームも、スパム攻撃の標的になりやすい要素です。ボットによる自動投稿で大量の迷惑メールが送信されたり、偽の会員登録でデータベースが汚染される被害が発生します。
フォームスパムは管理者の業務負荷を大幅に増加させるため、事前の対策が重要になります。
初級|入力項目の形式チェック・必須項目設定
メールアドレス形式の検証、電話番号の桁数チェック、必須項目の設定など基本的なバリデーションを実装しましょう。明らかに不正な入力や空欄の多い送信をブロックできます。
また、入力文字数の制限や特定の文字パターンの禁止なども効果的です。ただし、正当なユーザーの利用を妨げない範囲で設定することが大切です。
中級|Google reCAPTCHA 導入でボット送信を防止
Contact Form 7 や Gravity Forms と連携して reCAPTCHA を設置しましょう。「私はロボットではありません」チェックや画像認証でボットによる自動送信を効果的に防げます。
最新の reCAPTCHA v3 は、ユーザーの行動分析により自動的にボット判定を行うため、ユーザビリティを損なわずにスパム対策が可能です。
導入時の注意点として、reCAPTCHA v2 で取得したキーは v3 では使用できないため、新たに登録が必要です。また、導入直後は学習期間が必要となるため、スパムが一時的に通過してしまうこともあります。さらに、Contact Form 7(バージョン5.1以降)では、以前必要だった[recaptcha] タグの記述が不要になっている点にも留意が必要です。
上級|IP 制限や送信回数制限で大量投稿をブロック
特定 IP アドレスからの連続送信を制限したり、同一 IP から短時間での複数送信を拒否する仕組みを導入しましょう。Wordfence などのセキュリティプラグインで設定可能です。
送信頻度の制限は、1時間あたり3回程度に設定することで、正当なユーザーの利用を妨げずにスパム攻撃を抑制できます。
超上級|専門家による診断で見落としている脆弱性を発見
上記で紹介した対策ではスパム被害を大幅に軽減できますが、WordPress 本体やプラグインの脆弱性、カスタマイズ箇所のセキュリティホールまでは発見できません。自社での対策に限界を感じたら、専門家による脆弱性診断がおすすめです。
【実例|基本対策だけでは防げなかったケース】
reCAPTCHA v2 を導入していた企業サイトで、依然として大量のフォームスパムが届いていました。診断の結果、reCAPTCHA の設定ミスと、フォームの送信回数制限が未設定であることが判明。v3 への更新と送信制限の実装により、スパム送信が 95% 削減されました。
SEO スパム / 悪意あるページ生成
サイトが乗っ取られて勝手にスパムページが生成される攻撃です。検索エンジン向けに大量のキーワードを詰め込んだ低品質ページや、アダルトサイトへのリダイレクトページが作られるケースが多く見られます。
このようなページが存在すると、サイト全体の SEO 評価が大幅に下がり、検索結果からの除外処分を受ける可能性もあります。定期的なサイト監視と迅速な対処が求められます。
初級|不要な自動生成ページ・プラグインの削除
使っていないプラグインや自動生成系の機能を無効化・削除しましょう。特にタグページやアーカイブページの自動生成機能は、スパマーに悪用されやすいため注意が必要です。
定期的にプラグイン一覧をチェックし、利用していないものは積極的に削除することで、セキュリティリスクを軽減できます。
中級|セキュリティプラグインで不審ページ検知
Wordfence や Sucuri などで定期的にサイトをスキャンし、不正に生成されたページや改ざんされたコンテンツを検知しましょう。異常発見時はアラート通知を受け取れます。
週1回程度の定期スキャンを設定することで、被害の拡大を防ぎ、早期対処が可能になります。
上級|クローラーアクセス制御
robots.txt や htaccess ファイルでボットのアクセスを制御しましょう。正規の検索エンジンクローラー以外のアクセスを制限し、スパムボットによるページ生成を防げます。
ただし、設定を誤ると正当な検索エンジンからのアクセスも妨げる可能性があるため、慎重な設定が必要です。
超上級|専門家による診断で見落としている脆弱性を発見
上記で紹介した対策ではスパム被害を大幅に軽減できますが、WordPress 本体やプラグインの脆弱性、カスタマイズ箇所のセキュリティホールまでは発見できません。自社での対策に限界を感じたら、専門家による脆弱性診断がおすすめです。
【実例|基本対策だけでは防げなかったケース】
セキュリティプラグインで定期スキャンを実施していた企業サイトで、検索結果に不審なページが表示されていました。診断により、カスタマイズした投稿タイプの設定に不備があり、スパムボットが自動生成可能な状態になっていたことが発覚しました。プラグインの削除だけでは防げない、カスタマイズ部分の問題でした。
マルウェア・リダイレクトスパム
サイトにマルウェアが仕込まれ、訪問者を悪意あるサイトに自動転送する攻撃です。WordPress 本体やプラグインの脆弱性を突いてサーバーに侵入し、ファイルを改ざんするケースが多く発生しています。
感染すると訪問者に被害を与えるだけでなく、Google から「このサイトにアクセスすると、コンピュータに損害を与える可能性があります」という警告が表示される場合もあります。予防と早期発見が特に重要な攻撃タイプです。
初級|WordPress 本体・テーマ・プラグインを常に最新に更新
セキュリティホールを狙った攻撃を防ぐため、WordPress 本体、使用中のテーマ、プラグインを常に最新版に保ちましょう。自動更新機能の活用も効果的です。
更新前には必ずバックアップを取り、テスト環境での動作確認を行うことで、安全な更新作業を実現できます。
中級|Wordfence や SiteGuard で不正アクセスブロック
ログイン試行回数制限、怪しいIPアドレスの自動ブロック、ファイル改ざん検知などの機能を持つセキュリティプラグインを導入し、多層防御を構築しましょう。
ただし、Wordfence の無料版ではファイアウォールルールとマルウェアシグネチャの更新が30日遅れる点に注意が必要です。最新の脅威に即座に対応するには、有料版(Premium)の利用を検討しましょう。リアルタイムでの脅威検知により、攻撃の初期段階で被害を食い止めることが可能になります。
中級|定期バックアップで被害最小化
UpdraftPlus や BackWPup などでサイトの定期バックアップを取得しましょう。万が一マルウェア感染やスパム被害に遭っても、クリーンな状態にすぐ復旧できる体制を整えられます。
日次バックアップの設定により、最大24時間前の状態に復旧できるため、被害を最小限に抑制できます。
超上級|専門家による診断で見落としている脆弱性を発見
上記で紹介した対策ではスパム被害を大幅に軽減できますが、WordPress 本体やプラグインの脆弱性、カスタマイズ箇所のセキュリティホールまでは発見できません。自社での対策に限界を感じたら、またこれらの対策を実施したあとでさらに根本的なセキュリティ強化を目指すなら、専門家による脆弱性診断がおすすめです。
【実例|基本対策だけでは防げなかったケース】
WordPress 本体、テーマ、プラグインすべてを最新版に保ち、Wordfence で定期スキャンを実施していた企業サイトで、マルウェア感染が発生しました。診断により、サーバーの PHP バージョンが古く、そこに既知の脆弱性が残っていたことが原因と判明しました。WordPress 側の対策だけでなく、サーバー環境全体のセキュリティチェックが必要でした。
スパム対策を「やりっぱなし」で終わらせない運用のコツ
スパム対策は一度設定すれば終わりではありません。継続的な運用により効果を維持し、新たな脅威にも対応していく必要があります。
定期チェックの習慣化
スパム対策の効果を維持するには、設定した対策が正常に動作しているか、新たなスパムが発生していないかを定期的に確認する必要があります。多忙な日常業務の中でチェックを忘れがちですが、習慣化することで確実に実行できるようになります。
週1回または月1回のペースで、スパムフィルターの動作状況、ブロックされたアクセス数、新しいスパム手法の出現などをチェックする時間を設けましょう。カレンダーに予定として組み込んで確実に実行することが重要です。
継続的なセキュリティ維持のロードマップ
より確実なセキュリティ体制を構築するために、以下のような運用サイクルを保つことをおすすめします。
- 日次:スパムフィルターの動作確認、ブロック数のチェック
- 週次:プラグイン更新の確認、セキュリティプラグインのログ確認
- 月次:バックアップの動作確認、復旧テストの実施
- 四半期:セルフチェックリストによる総合確認
- 年1〜2回:専門家による脆弱性診断の実施
特に年次の専門家診断を取り入れることで、日常的なセルフチェックでは発見しにくい潜在的な脆弱性を特定することが可能です。根本的なセキュリティ強化につながります。
プラグイン・WordPress の更新ルールを作る
WordPress やプラグインの更新は新機能追加だけでなく、セキュリティホールの修正も含まれる重要な作業です。しかし更新のタイミングや手順が曖昧だと、つい後回しにしてしまいがちです。明確なルールを設けることで、安全かつ確実な更新作業を実現できます。
「毎月第1火曜日に更新作業を行う」「セキュリティアップデートは3日以内に適用」など、明確なルールを策定しましょう。更新前には必ずバックアップを取り、テスト環境での動作確認も忘れずに行うことが大切です。
バックアップと復旧手順の確認
バックアップを取得していても、いざという時に復旧できなければ意味がありません。定期的にバックアップの動作確認と復旧テストを実施することで、緊急時にスムーズな復旧作業ができます。また、復旧手順書を作成しておけば、担当者が変わっても対応可能です。
バックアップが正常に取得できているか、復旧手順に問題がないかを定期的に検証しましょう。実際にテスト環境で復旧作業を実行して、緊急時に慌てないよう準備しておくことが重要です。
担当者間で情報共有を徹底する
複数人でサイト運営を行っている場合、スパム対策に関する情報共有が不十分だと、対策の重複や見落としが発生する可能性があります。情報共有の仕組みを整備することで、チーム全体のセキュリティ意識向上と効率的な運用が実現できます。
複数人でサイト運営している場合、スパム対策の設定変更、新しい脅威の発見、対処方法などを共有する仕組みを作りましょう。Slack や Chatwork などのツールで情報共有チャンネルを設置するのも効果的です。
より確実な対策をお求めの企業様へ
この記事で紹介した対策は、スパム被害を大幅に軽減できますが、WordPress 本体やプラグインの脆弱性、カスタマイズ箇所のセキュリティホールまでは発見できません。次のステップとして、より確実な対策をしたい場合は、専門家診断がおすすめです。
LabWorks の脆弱性診断サービスでは、専門家が貴社の WordPress サイトを徹底的に検証し、見落としがちなリスクを特定します。
診断で発見される代表的な問題例
実際の脆弱性診断では、以下のような「基本的なスパム対策だけでは防げない」問題が頻繁に発見されます。
| 問題 | 具体例 |
| プラグインの脆弱性 | Akismet でコメントスパムは防げていたが、古いバージョンの Contact Form 7 の脆弱性を突いた攻撃により、大量のフォームスパムが発生していた |
| カスタマイズの不備 | 独自開発した会員登録フォームに、入力値の検証不足があり、SQL インジェクションのリスクが存在していた |
| サーバー設定の問題 | WordPress 本体は最新版だったが、サーバーの PHP バージョンが古く、既知の脆弱性が残っていた |
これらは一般的なスパム対策では発見できず、専門家による包括的な診断が必要な領域です。
診断による改善事例
以下は某ECサイト様の事例です。
- Before(診断前):月間500件以上のスパム問い合わせ、管理者の確認作業に月20時間以上を消費
- After(診断・改善後):スパム件数が月10件以下に激減、管理者の作業時間を95%削減
診断で発見された問題
- 使用していない古いプラグインに重大な脆弱性
- reCAPTCHA v2 のまま運用(v3への更新で精度向上)
- フォームの送信回数制限が未設定
これらを改善した結果、スパム被害を劇的に削減できました。
サービス内容
LabWorks の脆弱性診断サービスでは、WordPress 専門の知識を持つセキュリティエンジニアが、貴社のサイトを徹底的に検証し、見落としがちなリスクを特定します。
- WordPress 本体・プラグインの既知の脆弱性チェック
- カスタマイズ箇所のセキュリティホール診断
- サーバー設定の安全性検証
- 具体的な改善提案レポートの提供
一般的なWebアプリケーション診断とは異なり、WordPress に特化した診断であり、より精密なリスク分析が可能です。一般的なスパム対策だけでは防ぎきれないリスクに対応します。
まとめ
WordPress サイトのスパム対策は、企業サイトの品質維持と業務効率化において欠かせない重要な取り組みです。コメントスパム、フォームスパム、SEO スパム、マルウェアなど、それぞれの脅威に応じた適切な対策を段階的に実施することで、効果的な防御体制を構築できます。
初級レベルでは基本設定による対策から始め、中級・上級レベルでプラグインやセキュリティツールを活用した自動化対策に発展させることで、管理負荷を抑えながら高い防御効果を実現できます。
さらに重要なのは、対策を「やりっぱなし」で終わらせない継続的な運用です。定期チェックの習慣化、更新ルールの策定、バックアップ体制の確立、情報共有の徹底により、長期的に安全なサイト運営を維持できます。専門知識がなくても実践できる対策から始めて、段階的にセキュリティレベルを向上させ、企業サイトの信頼性と業務効率の向上を実現しましょう。
当社へご興味をお持ちいただきありがとうございます。
「こんなことやってみたい!」と、ぜひ気軽にご相談ください。
担当者よりご連絡差し上げます。