【2026年版】ワードプレス迷惑メール対策｜今すぐできる原因別の防止方法とおすすめ設定

はじめに

ワードプレスの迷惑メール対策は、問い合わせフォーム・コメント欄・ログイン画面・サーバー設定を分けて考えることが大切です。迷惑メールが増える原因は「WordPressが危険だから」ではなく、公開されているフォームやコメント欄が bot に見つかり、自動送信の対象になっているケースが多いためです。

特に2026年時点では、Contact Form 7などのフォームプラグイン、reCAPTCHA、Cloudflare Turnstile、Akismet、WAF、海外IP制限、SPF・DKIM・DMARCなどを組み合わせて対策するのが現実的です。WordPress公式のセキュリティ情報でも、更新・権限管理・不要機能の停止など、基本的な管理を継続することが重要とされています。

この記事では、「問い合わせフォームから迷惑メールが届く」「コメントスパムが止まらない」「reCAPTCHAを入れても効果が薄い」「プラグインを増やしすぎたくない」といった悩みに対して、原因別に今すぐできるワードプレス迷惑メール対策を解説します。

1. ワードプレスの迷惑メール対策でまず知るべき検索ユーザーの悩み

1-1. 問い合わせフォームから迷惑メールが大量に届く

ワードプレスの迷惑メールで最も多い悩みが、問い合わせフォームからの大量送信です。英語の営業メール、URLが大量に入った宣伝メール、意味不明な文字列だけのメール、海外業者からのSEO営業などが毎日届くようになると、重要な問い合わせを見落とす原因になります。

問い合わせフォームは、サイト内で誰でも送信できる入口です。そのため、botにフォームURLを発見されると、短時間で何十件、何百件もの迷惑メールが送られることがあります。

1-2. コメント欄に英語スパムや宣伝コメントが増えている

ブログ記事のコメント欄も、ワードプレスの迷惑メール・スパム投稿の代表的な発生源です。特に古い記事やアクセスの多い記事は、英語スパム、アダルト系リンク、投資・仮想通貨・カジノ系の宣伝コメントが投稿されやすくなります。

コメント欄を放置すると、サイトの信頼性が下がるだけでなく、スパムリンクが検索エンジンに評価されるリスクもあります。コメント機能を使っていないサイトであれば、早めに無効化するのがおすすめです。

1-3. 海外IPや bot から短時間に大量送信される

迷惑メールの多くは、人が手作業で送っているのではなく、botが自動的にフォームやコメント欄を探して送信しています。特定の海外IP、データセンター系IP、プロキシ経由のアクセスから、短時間に大量送信されることもあります。

この場合、フォーム側だけでなく、WAF、IP制限、国別アクセス制限、サーバーログ確認など、サイトの入口に近い場所で対策することが重要です。

1-4. reCAPTCHAを入れても迷惑メールが止まらない

reCAPTCHAを導入しても迷惑メールが完全に止まらないことがあります。理由は、reCAPTCHAのスコア設定が甘い、フォーム側のバリデーションが不足している、botではなく人力送信されている、別の古いフォームが残っている、キャッシュやJavaScriptの影響で正しく動作していない、などです。

Contact Form 7ではreCAPTCHA v3やAkismet、Cloudflare Turnstileなどの連携機能が案内されていますが、1つの対策だけで全スパムを防げるわけではありません。

1-5. プラグインを増やしすぎず安全に対策したい

「迷惑メール対策プラグインを入れれば解決」と考えがちですが、プラグインを増やしすぎると、表示速度の低下、プラグイン同士の競合、管理負担の増加、脆弱性リスクにつながることがあります。

そのため、まずはWordPress本体の設定、コメント設定、フォーム設定、サーバー側のWAFやメール認証を見直し、それでも不足する部分をプラグインで補うのが安全です。

2. ワードプレスに迷惑メールが届く主な原因

2-1. 問い合わせフォームが bot に自動送信されている

問い合わせフォームに迷惑メールが届く主な原因は、botによる自動送信です。botはインターネット上のフォームを巡回し、名前・メールアドレス・本文欄に機械的に文字列を入力して送信します。

フォームにbot対策が入っていない場合、送信ボタンを押すだけでメールが送れてしまうため、迷惑メールの標的になりやすくなります。特にContact Form 7のように利用者が多いフォームは、攻撃者側にも構造を把握されやすいため、追加の対策が必要です。

2-2. コメント機能がスパム投稿の標的になっている

WordPressはブログ機能が標準で備わっているため、コメント機能も初期状態で使えるようになっています。コメント欄を使っていないのに開放したままにしていると、スパム投稿の入口になります。

WordPressのディスカッション設定では、コメントの承認制、リンク数による保留、モデレーションリスト、拒否リストなどを設定できます。コメントを使わない場合は、投稿ごとではなく全体設定から停止しておくと管理が楽になります。

2-3. メールアドレスをページ上に直接掲載している

ページ上に「」のようなメールアドレスを直接掲載していると、収集botに拾われる可能性があります。メールアドレスが収集されると、WordPressのフォームとは関係なく、メールアドレス宛に迷惑メールが届くようになります。

企業サイトではメールアドレスを公開したくなる場面もありますが、基本的には問い合わせフォームに置き換える、画像化する、JavaScriptで難読化する、部署別アドレスを使い分けるなどの対策を検討しましょう。

2-4. XML-RPCやログイン画面が攻撃対象になっている

WordPressのxmlrpc.phpやログイン画面は、ブルートフォース攻撃や不審アクセスの対象になることがあります。xmlrpc.phpは外部アプリ連携などに使われる仕組みですが、使っていない場合は制限または無効化を検討できます。

XML-RPCを無効化・制限するプラグインも公開されており、Disable XML-RPC-APIのようなプラグインは、XML-RPCやピンバック・トラックバックを制限する機能を提供しています。

2-5. 古いテーマ・プラグイン・WordPress本体を使っている

古いWordPress本体、テーマ、プラグインを使い続けると、迷惑メールだけでなく、不正ログイン、改ざん、マルウェア設置などのリスクが高まります。特に放置されたプラグインや更新停止中のテーマは注意が必要です。

迷惑メール対策の第一歩は、スパムフィルターを入れることではなく、WordPress環境を最新状態に保つことです。不要なプラグインやテーマは停止ではなく削除し、使っているものだけを定期的に更新しましょう。

2-6. 海外アクセスや不審なIPを制限していない

日本国内向けのサイトにもかかわらず、海外からのフォーム送信が多い場合は、海外IP制限が有効なことがあります。特に、問い合わせ内容がすべて英語、URL付き、同じ文面、同じIP帯からの連続送信であれば、国別制限やIP制限を検討する価値があります。

ただし、海外顧客、海外在住の日本人、検索エンジンのクローラー、外部サービスからのアクセスまで遮断しないように注意が必要です。

3. 今すぐできるワードプレス迷惑メール対策の基本設定

3-1. WordPress本体・テーマ・プラグインを最新状態にする

最初に行うべき対策は、WordPress本体、テーマ、プラグインを最新状態にすることです。管理画面の「ダッシュボード」から更新状況を確認し、バックアップを取ったうえでアップデートします。

特にフォーム系、セキュリティ系、キャッシュ系、会員管理系のプラグインは、サイトの重要機能に関わるため、更新情報を定期的に確認しましょう。使っていないプラグインは無効化だけでなく削除するのがおすすめです。

3-2. 不要なコメント機能を停止する

コメント欄を使っていないサイトでは、コメント機能を停止するだけでスパムの入口を大きく減らせます。

管理画面で「設定」→「ディスカッション」を開き、「新しい投稿へのコメントを許可」のチェックを外します。ただし、この設定は今後の投稿に適用されるため、既存記事のコメント欄は別途停止が必要です。

3-3. コメントを承認制にする

コメント機能を使う場合は、承認制にしましょう。コメントが自動公開される設定だと、スパムリンクがそのままサイト上に表示されてしまいます。

「コメントの手動承認を必須にする」を有効化すれば、管理者が確認したコメントだけを公開できます。ブログ運営で読者とのやり取りを大切にしたい場合でも、承認制にしておくことで安全性を保てます。

3-4. NGワード・URL数・投稿者情報でコメントを制限する

コメントスパムの多くは、外部URLを含んでいます。そのため、コメント内のURL数が一定以上の場合は保留にする設定が有効です。

また、特定のキーワード、メールアドレス、IPアドレス、URLをモデレーションリストや拒否リストに登録することで、繰り返し投稿されるスパムを減らせます。英語スパムが多い場合は、よく使われる宣伝文句やドメイン名を登録しておくのも効果的です。

3-5. メールアドレスの直接掲載をやめてフォームに置き換える

迷惑メールを減らすには、ページ上に直接掲載しているメールアドレスを削除し、問い合わせフォームに置き換えるのが基本です。

メールアドレスをどうしても掲載する必要がある場合は、問い合わせ用の専用アドレスを作成し、重要な社内アドレスや個人アドレスを直接公開しないようにしましょう。

3-6. 不要な問い合わせフォームを削除する

過去に作成したテストフォーム、使っていない採用フォーム、古いキャンペーン用フォームが残っていると、そこから迷惑メールが届くことがあります。

管理画面でフォーム一覧を確認し、不要なフォームは削除しましょう。削除できない場合でも、固定ページからフォームを外す、フォームの送信先を無効化する、noindexページに置いたまま放置しない、といった対応が必要です。

4. 問い合わせフォームから届く迷惑メールの原因別対策

4-1. Contact Form 7の迷惑メール対策設定

Contact Form 7を使っている場合は、まずフォームの項目を見直します。名前、メールアドレス、本文だけのシンプルなフォームは送信しやすい反面、botにも突破されやすい構造です。

Contact Form 7では、reCAPTCHA、Akismet、Cloudflare Turnstileなどの外部サービス連携が案内されています。特にAkismet連携では、フォーム入力内容をスパム判定に利用し、スパムと判定された送信を止めることができます。

4-2. reCAPTCHAを導入して自動送信を防ぐ

reCAPTCHAは、botによる自動送信を減らすための代表的な対策です。Contact Form 7ではreCAPTCHA v3との連携が可能で、ユーザーに画像選択を求めずにスコア判定を行うタイプが使われます。

ただし、reCAPTCHAを入れただけで迷惑メールがゼロになるとは限りません。スコアしきい値、JavaScriptの読み込み、キャッシュ設定、フォームプラグインとの相性を確認し、送信テストを行うことが重要です。

4-3. hCaptcha・Cloudflare Turnstileでスパム判定を強化する

reCAPTCHA以外の選択肢として、hCaptchaやCloudflare Turnstileも利用できます。Cloudflare Turnstileは、フォームをbotから守る仕組みとして提供されており、ブラウザ側でトークンを発行し、サーバー側でその有効性を確認する流れで動作します。

WordPress向けには、Turnstileをフォームやログイン画面に追加するプラグインもあります。たとえば「Simple CAPTCHA Alternative with Cloudflare Turnstile」は、WordPressの各種フォームをスパムから守る目的で公開されています。

4-4. Honeypotを使ってbot送信をブロックする

Honeypotは、ユーザーには見えない入力欄をフォーム内に設置し、botがその欄に入力した場合にスパムとして判定する方法です。人間には見えない項目なので、正規ユーザーの操作を妨げにくいのがメリットです。

Contact Form 7向けには、Honeypot機能を追加するプラグインがあります。reCAPTCHAのように外部サービスへ依存したくない場合や、ユーザー体験をなるべく変えたくない場合に向いています。

4-5. 必須項目・文字数・URL入力制限を設定する

フォームの入力ルールを厳しくするだけでも、迷惑メールは減らせます。たとえば、本文の最低文字数を設定する、URLを複数含む送信を制限する、電話番号欄の形式をチェックする、会社名や問い合わせ種別を必須にする、といった方法です。

ただし、必須項目を増やしすぎると正規ユーザーの離脱につながります。企業サイトなら「名前・メールアドレス・問い合わせ内容・同意チェック」程度を基本にし、必要に応じて項目を追加しましょう。

4-6. 日本語入力チェックで海外スパムを減らす

海外からの英語スパムが多い場合は、日本語入力チェックが有効です。たとえば、本文にひらがな・カタカナ・漢字のいずれかが含まれていない場合は送信を拒否する、または確認画面に進めないようにします。

日本国内向けのサービスサイト、地域ビジネス、士業、クリニック、美容室などでは、日本語入力チェックだけで大量の英語スパムを減らせることがあります。ただし、海外顧客からの問い合わせを受け付けるサイトでは慎重に設定しましょう。

4-7. 送信回数制限・IP制限で大量送信を防ぐ

同じIPから短時間に何度も送信される場合は、送信回数制限が有効です。一定時間内の送信回数を制限することで、botによる連続送信を抑えられます。

サーバー側のWAF、セキュリティプラグイン、CDN、Cloudflareなどを使うと、IPアドレス単位や国単位でアクセス制限を設定できます。フォーム単体では止めきれない大量送信には、サイトの入口側での制御が効果的です。

4-8. フォーム確認画面やサンクスページの扱いに注意する

確認画面やサンクスページを設置している場合も注意が必要です。確認画面があるから安全というわけではなく、botが直接送信処理にアクセスできる構造であれば迷惑メールは届きます。

また、サンクスページをコンバージョン計測に使っている場合、bot送信によってアクセス解析や広告計測が汚れることがあります。迷惑メール対策後は、問い合わせ数だけでなく、コンバージョン計測の異常値も確認しましょう。

5. コメントスパムを防ぐおすすめ設定

5-1. コメント欄を使わない場合は完全に無効化する

コメント欄を運用していない場合は、完全に無効化するのが最も確実です。企業サイト、サービスサイト、LP、コーポレートサイトでは、コメント欄が不要なケースがほとんどです。

「設定」→「ディスカッション」で新規投稿へのコメントを停止し、既存記事のコメント欄も閉じましょう。必要に応じて、コメントフォーム自体を非表示にするプラグインやテーマ設定を使います。

5-2. 既存記事のコメント受付を一括停止する

新規投稿のコメントを停止しても、過去記事のコメント欄が開いたままではスパムが届き続けます。投稿一覧から複数記事を選択し、一括編集でコメントを「許可しない」に変更しましょう。

記事数が多い場合は、コメント無効化プラグインを使う方法もあります。ただし、プラグインを追加する前に、テーマやWordPress標準機能で対応できないか確認するのがおすすめです。

5-3. コメント承認制とモデレーション設定を行う

コメント欄を使う場合は、承認制を必ず有効にしましょう。初回コメントのみ承認制にする設定もありますが、スパム対策を重視するならすべてのコメントを承認制にする方が安全です。

モデレーション設定では、特定の語句、URL、メールアドレス、IPアドレスを条件にして、コメントを保留できます。スパムの傾向を見ながら、定期的にリストを更新しましょう。

5-4. URL付きコメントを制限する

コメントスパムの目的は、多くの場合、外部サイトへのリンク設置です。そのため、URL付きコメントを制限するだけでも効果があります。

WordPressのディスカッション設定では、コメント内に含まれるリンク数が一定以上の場合に保留できます。最初は「1個以上のリンクで承認待ち」に設定し、運用状況を見て調整するとよいでしょう。

5-5. Akismetなどのスパム判定プラグインを活用する

コメント欄を開放するなら、Akismetのようなスパム判定プラグインの活用がおすすめです。Akismetは、コメントや問い合わせフォームの送信内容をスパムデータベースと照合し、悪質な投稿を検出する仕組みです。WordPress公式プラグインディレクトリでも、コメントや問い合わせフォームのスパム対策向けプラグインとして紹介されています。

個人ブログと商用サイトでは利用条件が異なる場合があるため、導入前に料金プランを確認しましょう。Akismetの公式料金ページでは、個人サイト向けと商用利用向けのプランが分けて案内されています。

5-6. ピンバック・トラックバックを無効化する

ピンバック・トラックバックは、他サイトからリンクされたことを通知する仕組みですが、現在ではスパムに悪用されることも多く、使っていない場合は無効化がおすすめです。

「設定」→「ディスカッション」で、新しい投稿に対するピンバック・トラックバックを許可しない設定に変更しましょう。既存記事についても必要に応じて一括停止します。

6. 迷惑メール対策におすすめのWordPressプラグイン

6-1. Akismet Anti-spamの特徴と向いているサイト

Akismet Anti-spamは、WordPressのコメントスパムやフォームスパム対策としてよく使われるプラグインです。コメントや問い合わせフォームの内容をチェックし、スパムと判断された投稿を振り分けます。

コメント欄を使っているブログ、問い合わせフォームが多い企業サイト、WooCommerceを使ったサイトなどに向いています。ただし、商用サイトでは有料プランが必要になる場合があるため、導入前に公式プランを確認しましょう。

6-2. Contact Form 7向けHoneypot系プラグイン

Contact Form 7を使っている場合は、Honeypot系プラグインも選択肢になります。Honeypotは、ユーザーには見えない項目をbotに入力させることでスパム判定する仕組みです。

reCAPTCHAのようにユーザー側の操作が増えにくいため、問い合わせ完了率を落としたくないサイトに向いています。ただし、すべてのbotを防げるわけではないため、URL制限、日本語チェック、送信回数制限などと組み合わせるのがおすすめです。

6-3. SiteGuard WP Pluginでログイン・管理画面を守る

SiteGuard WP Pluginは、ログイン画面変更、画像認証、ログインロック、管理ページアクセス制限など、WordPressの管理画面まわりを守るためのプラグインです。公式プラグインページでは、管理ページIPフィルターやログインページ変更などの機能が案内されています。

迷惑メールそのものを直接止めるプラグインではありませんが、不正ログインや管理画面への攻撃を減らすことで、サイト全体の安全性を高められます。

6-4. Wordfence Securityで不審アクセスを検知する

Wordfence Securityは、ファイアウォール、マルウェアスキャン、ログインセキュリティなどを備えたWordPress向けセキュリティプラグインです。公式プラグインページでは、コアファイル、テーマ、プラグインの改ざんチェックや、マルウェア・悪質URLなどの検出機能が説明されています。

フォームスパムだけでなく、不審アクセス、改ざん、脆弱性対策も含めて管理したいサイトに向いています。ただし、多機能な分、設定項目が多いため、必要な機能から段階的に有効化しましょう。

6-5. CleanTalkなど外部判定型スパム対策プラグイン

CleanTalkのような外部判定型のスパム対策プラグインは、コメント、問い合わせフォーム、会員登録、注文フォームなど、複数の入口をまとめてチェックできる点が特徴です。

ECサイト、会員サイト、フォームが複数あるサイトでは、個別に対策するよりも一元管理しやすくなります。ただし、外部サービスにデータを送信する仕組みになるため、プライバシーポリシーや個人情報の取り扱いも確認しておきましょう。

6-6. プラグインを選ぶときの注意点

迷惑メール対策プラグインを選ぶときは、次の点を確認しましょう。

・最終更新日が新しいか
・現在のWordPressバージョンに対応しているか
・有効インストール数や評価が極端に低くないか
・サポートフォーラムで重大な不具合が放置されていないか
・使用中のフォームプラグインやテーマと相性がよいか
・商用利用時の料金やライセンスに問題がないか

特にセキュリティ系プラグインは、サイトの動作に大きく関わります。導入前にバックアップを取り、可能であればテスト環境で確認しましょう。

6-7. 入れすぎによる表示速度低下や不具合を避ける方法

迷惑メール対策プラグインを複数入れすぎると、同じ処理を二重に行ったり、JavaScriptが競合したり、フォーム送信が失敗したりすることがあります。

基本は「フォーム対策1つ」「コメント対策1つ」「セキュリティ対策1つ」程度に絞り、サーバー側のWAFやDNS設定で補うのがおすすめです。導入後は、問い合わせ送信、コメント投稿、ログイン、会員登録、購入完了など、重要な動作を必ずテストしましょう。

7. サーバー・DNS・セキュリティ側で行う迷惑メール対策

7-1. WAFを有効化して不審な送信を遮断する

WAFは、Webアプリケーションへの不審なアクセスを検知・遮断する仕組みです。レンタルサーバーによっては、管理画面から無料でWAFを有効化できます。

フォームへの連続投稿、攻撃的な文字列、SQLインジェクションのような不審なリクエストをブロックできる場合があります。迷惑メール対策だけでなく、サイト全体のセキュリティ強化にもつながります。

7-2. 海外IP制限を設定する

日本国内向けサイトで海外からの迷惑メールが多い場合は、海外IP制限を検討しましょう。レンタルサーバー、CDN、Cloudflare、セキュリティプラグインなどで国別アクセス制限を設定できることがあります。

ただし、海外検索エンジン、外部API、決済サービス、海外拠点のユーザーまで遮断しないように注意が必要です。まずはログを確認し、特定の国やIP帯からのスパムが多い場合に限定して設定するのが安全です。

7-3. XML-RPCを無効化または制限する

XML-RPCを使っていない場合は、無効化または制限を検討しましょう。外部アプリ投稿、Jetpack連携、リモート投稿などを使っていないサイトでは、xmlrpc.phpが不要なケースもあります。

無効化する方法には、セキュリティプラグイン、専用プラグイン、サーバー設定、.htaccessによる制限などがあります。設定後は、必要な外部連携が止まっていないか確認しましょう。

7-4. SPF・DKIM・DMARCを設定してなりすましを防ぐ

SPF・DKIM・DMARCは、メール送信元ドメインの正当性を確認するための認証技術です。これらを設定しておくと、自社ドメインになりすましたメールの悪用を抑えやすくなります。

迷惑メールを「受け取らない」対策とは少し異なりますが、自社ドメインの信頼性を守るうえで重要です。特に企業サイトでは、問い合わせフォームの自動返信メールや通知メールが迷惑メール扱いされないよう、DNS設定を確認しましょう。

7-5. メール送信元ドメイン認証を確認する

WordPressから送られるメールが、サーバーのメール送信設定と一致していない場合、受信側で迷惑メール判定されることがあります。たとえば、送信元アドレスは独自ドメインなのに、実際の送信サーバーが別サービスになっている場合です。

問い合わせフォームの自動返信や管理者通知が届かない場合は、SMTP設定、SPF、DKIM、DMARC、送信元アドレス、Return-Pathを確認しましょう。

7-6. レンタルサーバーの迷惑メールフィルターを活用する

レンタルサーバーには、メールアカウント単位で迷惑メールフィルターを設定できる機能があります。WordPress側で完全に止められない迷惑メールも、メールサーバー側で振り分けられることがあります。

ただし、フィルターを強くしすぎると正規の問い合わせまで迷惑メールフォルダに入る可能性があります。最初は「件名に[SPAM]を付ける」「専用フォルダに振り分ける」など、確認できる状態で運用すると安心です。

8. 迷惑メール対策をするときの注意点

8-1. reCAPTCHAで正規ユーザーの送信を妨げない

reCAPTCHAやhCaptchaを導入すると、bot対策にはなりますが、正規ユーザーの送信を妨げる場合があります。特に高齢者向けサイト、スマートフォン利用が多いサイト、法人の社内ネットワークからアクセスされるサイトでは注意が必要です。

導入後は、パソコン・スマートフォン・別ブラウザで送信テストを行い、エラーが出ないか確認しましょう。

8-2. IP制限で必要なアクセスまで遮断しない

IP制限や海外アクセス制限は強力ですが、設定を誤ると必要なアクセスまで遮断してしまいます。海外の取引先、海外在住者、外部サービス、検索エンジン、監視サービスなどが影響を受ける可能性があります。

まずはアクセスログを確認し、明らかに不要なIPや国から段階的に制限しましょう。いきなり広範囲をブロックするのは避けるべきです。

8-3. キャッシュ系プラグインとの相性を確認する

reCAPTCHA、Turnstile、Honeypot、確認画面付きフォームは、キャッシュ系プラグインと相性問題が起きることがあります。JavaScriptが正しく読み込まれない、トークンが古くなる、送信時にエラーになる、といったトラブルが発生する場合があります。

キャッシュプラグインを使っている場合は、問い合わせページをキャッシュ除外する、JavaScript最適化の対象から外す、遅延読み込みを解除するなどの設定を確認しましょう。

8-4. フォームの送信テストを必ず行う

迷惑メール対策を行った後は、必ずフォームの送信テストを行いましょう。管理者通知、自動返信、サンクスページ遷移、エラー表示、スマートフォン表示、必須項目チェックを確認します。

特に企業サイトでは、問い合わせフォームが止まると機会損失につながります。対策後に迷惑メールが減っても、正規の問い合わせまで届かなくなっては本末転倒です。

8-5. スパム対策後も定期的にログを確認する

迷惑メール対策は、一度設定して終わりではありません。botの送信方法や攻撃元IPは変化します。フォームの送信履歴、サーバーログ、WAFログ、メールサーバーの迷惑メール判定を定期的に確認しましょう。

迷惑メールが再び増えた場合は、送信元IP、国、時間帯、本文の特徴、URLの有無、フォームの種類を確認し、原因に合わせて対策を追加します。

9. 目的別・サイト別のおすすめ迷惑メール対策

9-1. 個人ブログにおすすめの最低限設定

個人ブログでは、まずコメントスパム対策を優先しましょう。コメント欄を使わない場合は完全に無効化し、使う場合は承認制とAkismetを設定します。

問い合わせフォームがある場合は、HoneypotまたはreCAPTCHAを導入し、メールアドレスの直接掲載を避けます。プラグインは必要最小限にして、WordPress本体・テーマ・プラグインの更新を習慣化しましょう。

9-2. 企業サイト・コーポレートサイトにおすすめの設定

企業サイトでは、問い合わせフォームの迷惑メール対策が重要です。おすすめは、Contact Form 7などのフォームにreCAPTCHAまたはTurnstile、Honeypot、日本語入力チェック、URL制限を組み合わせる方法です。

さらに、WAF、SPF・DKIM・DMARC、管理画面保護、バックアップ、ログ確認も行いましょう。問い合わせフォームが営業窓口になっている場合は、スパム対策と同時に正規ユーザーの送信しやすさも重視する必要があります。

9-3. ECサイト・会員サイトに必要な追加対策

ECサイトや会員サイトでは、問い合わせフォームだけでなく、会員登録、ログイン、レビュー投稿、注文フォームもスパムや不正アクセスの対象になります。

会員登録フォームにはCAPTCHAやメール認証を入れ、ログイン画面にはログイン試行回数制限や二段階認証を導入しましょう。WooCommerceを使っている場合は、注文メール、会員登録メール、パスワードリセットメールの到達率も確認する必要があります。

9-4. 海外スパムが多いサイトの対策

海外スパムが多いサイトでは、日本語入力チェック、国別アクセス制限、海外IP制限、URL付き送信の制限が有効です。

ただし、海外ユーザーを完全に排除してよいサイトかどうかを先に判断しましょう。海外向けサービスやインバウンド向けサイトでは、英語問い合わせも正規の可能性があります。その場合は、国別制限ではなく、送信回数制限やスパム判定を強化する方が安全です。

9-5. プラグインを増やしたくないサイトの対策

プラグインを増やしたくない場合は、まずWordPress標準設定とサーバー側設定を活用します。コメント停止、承認制、メールアドレス非公開、不要フォーム削除、WAF有効化、DNSのメール認証設定は、プラグインを増やさずにできる対策です。

フォーム対策だけ不足する場合は、1つだけ信頼できるスパム対策プラグインを入れる、またはCloudflare Turnstileのような外部サービスと連携する方法を検討しましょう。

10. ワードプレス迷惑メール対策のチェックリスト

10-1. WordPress本体・テーマ・プラグインは最新か

まず、WordPress本体、テーマ、プラグインが最新か確認しましょう。古い環境は、迷惑メールだけでなく不正アクセスや改ざんの原因になります。

確認項目は次のとおりです。

・WordPress本体が最新か
・テーマが最新か
・プラグインが最新か
・不要なテーマを削除しているか
・不要なプラグインを削除しているか
・バックアップを取ってから更新しているか

10-2. コメント機能は必要な状態になっているか

コメント欄が必要かどうかを確認しましょう。不要であれば無効化、必要であれば承認制にします。

確認項目は次のとおりです。

・新規投稿のコメントが不要なら停止しているか
・既存記事のコメント受付も停止しているか
・コメント承認制を有効にしているか
・URL数による制限を設定しているか
・ピンバック・トラックバックを無効化しているか

10-3. 問い合わせフォームにbot対策を入れているか

問い合わせフォームには、bot対策を必ず入れましょう。対策なしのフォームは迷惑メールの標的になりやすい状態です。

確認項目は次のとおりです。

・reCAPTCHA、hCaptcha、Turnstileのいずれかを導入しているか
・Honeypotを設定しているか
・URL付き送信を制限しているか
・日本語入力チェックを設定しているか
・送信回数制限を設定しているか
・不要なフォームを削除しているか

10-4. メールアドレスを直接公開していないか

サイト上にメールアドレスを直接掲載している場合は、収集botに拾われる可能性があります。

確認項目は次のとおりです。

・本文中にメールアドレスを直接書いていないか
・フッターや会社概要ページにメールアドレスを公開していないか
・PDF資料内に古いメールアドレスが残っていないか
・問い合わせフォームに置き換えられるか
・公開用アドレスと重要アドレスを分けているか

10-5. WAF・海外IP制限・ログ確認を設定しているか

フォーム側だけで止められない迷惑メールには、サーバー側の対策が必要です。

確認項目は次のとおりです。

・レンタルサーバーのWAFを有効化しているか
・海外IP制限を必要に応じて設定しているか
・不審なIPをブロックしているか
・WAFログを確認しているか
・フォーム送信ログを確認しているか
・セキュリティプラグインの通知を確認しているか

10-6. SPF・DKIM・DMARCを設定しているか

メールの信頼性を高めるために、SPF・DKIM・DMARCを設定しましょう。

確認項目は次のとおりです。

・SPFレコードを設定しているか
・DKIM署名を有効化しているか
・DMARCレコードを設定しているか
・WordPressの送信元メールアドレスが独自ドメインになっているか
・SMTP設定が正しいか
・自動返信メールが迷惑メールフォルダに入っていないか

11. ワードプレス迷惑メール対策に関するよくある質問

11-1. reCAPTCHAを入れても迷惑メールが来るのはなぜ？

reCAPTCHAを入れても迷惑メールが来る原因は、スコア設定が甘い、JavaScriptが正しく動いていない、人力スパムである、別のフォームが残っている、キャッシュの影響で認証が失敗している、などが考えられます。

reCAPTCHAだけに頼らず、Honeypot、URL制限、日本語入力チェック、送信回数制限、WAFを組み合わせるのがおすすめです。

11-2. Contact Form 7だけで迷惑メール対策はできる？

Contact Form 7本体だけでも基本的なフォーム作成はできますが、迷惑メール対策としては追加設定が必要です。reCAPTCHA、Akismet、Turnstile、Honeypot、入力制限などを組み合わせましょう。

Contact Form 7の公式ドキュメントでも、reCAPTCHA、Akismet、Cloudflare Turnstileなどの連携が案内されています。

11-3. Akismetは無料で使える？

Akismetは個人サイト向けのプランと商用利用向けのプランがあります。個人ブログでは利用しやすい一方、企業サイトや商用サイトでは有料プランが必要になる場合があります。

導入前に、サイトの用途が個人利用か商用利用かを確認し、Akismet公式の料金ページで条件を確認しましょう。

11-4. コメント機能を停止してもSEOに影響はある？

コメント機能を停止しただけで、通常SEOに大きな悪影響が出るとは限りません。むしろ、スパムコメントが大量に表示されている状態の方が、サイトの信頼性を下げる可能性があります。

読者との交流を重視するブログではコメント欄を承認制で運用し、企業サイトやサービスサイトではコメント欄を停止するなど、サイトの目的に合わせて判断しましょう。

11-5. 海外からの迷惑メールだけを止める方法は？

海外からの迷惑メールだけを減らすには、海外IP制限、国別アクセス制限、日本語入力チェック、英語のみ本文の拒否、特定国・特定IPのブロックが有効です。

ただし、海外からの正規問い合わせがあるサイトでは、完全ブロックは避けましょう。まずはログを確認し、スパムの多い国やIP帯に限定して制限するのがおすすめです。

11-6. 迷惑メール対策プラグインは複数入れてもよい？

複数入れることはできますが、入れすぎはおすすめしません。reCAPTCHA、Honeypot、Akismet、セキュリティプラグイン、WAFなどを重複させすぎると、フォーム送信エラーや表示速度低下の原因になります。

基本は、フォーム対策、コメント対策、セキュリティ対策を役割ごとに整理し、必要最小限のプラグインに絞りましょう。

11-7. 企業サイトで最低限やるべき設定は？

企業サイトで最低限やるべきワードプレス迷惑メール対策は、次のとおりです。

・WordPress本体・テーマ・プラグインを最新化する
・不要なコメント欄を停止する
・問い合わせフォームにreCAPTCHAまたはTurnstileを導入する
・Honeypotや日本語入力チェックを追加する
・メールアドレスを直接公開しない
・WAFを有効化する
・SPF・DKIM・DMARCを設定する
・フォーム送信テストを定期的に行う

企業サイトでは、迷惑メールを減らすだけでなく、正規の問い合わせを確実に受け取れる状態を維持することが重要です。

まとめ

ワードプレスの迷惑メール対策は、問い合わせフォームだけ、コメント欄だけ、プラグインだけで完結するものではありません。迷惑メールの原因を「フォームからの自動送信」「コメントスパム」「メールアドレス収集」「不審アクセス」「古いプラグイン」「海外IP」などに分けて考えることが大切です。

まずは、WordPress本体・テーマ・プラグインを最新状態にし、不要なコメント機能や古いフォームを削除しましょう。そのうえで、Contact Form 7などの問い合わせフォームにreCAPTCHA、hCaptcha、Cloudflare Turnstile、Honeypot、URL制限、日本語入力チェック、送信回数制限を組み合わせます。

さらに、WAF、海外IP制限、XML-RPC制限、SPF・DKIM・DMARC、メールサーバーの迷惑メールフィルターを活用すれば、サイト全体の防御力を高められます。

ワードプレスの迷惑メール対策で重要なのは、強い設定を一度に入れることではなく、正規ユーザーの使いやすさを保ちながら、原因に合った対策を段階的に行うことです。問い合わせフォームやコメント欄が正常に使えるか定期的にテストし、ログを確認しながら、継続的に改善していきましょう。