Security(セキュリティ)

PHP

お問合せフォームのスパム対策

お問合せフォームからスパムメールが大量に届くという報告が入りました。

 

スパムメールの内容はこれです。
===========================================================


お名前:注冊送188菜金980856点com加威信v202368
メールアドレス:523564608@qq.com


===========================================================

この内容だけ見ると、

明らかに中国からのスパムのようです。

 

で、念の為にアクセスログを調べてみると、

223.130.xx.xx

というIPアドレスからお問合せフォームへのアクセス履歴が大量に残っていたので、

# curl ipinfo.io/223.130.xx.xx/country

でIPアドレスが割り当てられている国を調べてみると、

「PH(フィリピン)」でした。

 

発信元はフィリピンだけど、送っているのは中国人?

フィリピン国内に置いてあるサーバを利用・経由している?

ということですかね?
※まさか中国語が堪能なフィリピン人がわざわざ中国人の振りして送っていることもないと思いますし。。。

 

取り合えず、

.htaccessに以下を記述して上記IPアドレスからのアクセスをブロックです。
=============================
order allow,deny
allow from all
deny from 223.130.xx.xx
=============================

 

ただ、

これだけでは根本的な解決にはならないので、

組んだのもかなり前のものですし、

ここは組み直してやることに。
※恥ずかしながら、重要な脆弱性対応が諸々漏れているフォームなので。。。

 

で、重要なのはフォームが辿ってきたルートが正しいかどうかのチェックを入れてやることです。

 

ここは、トークンを発行してユーザーが確認画面から正しく移動してきたかのチェックを行います(CSRF対策)。

 

本当はリファラーチェックも入れてやればより強力にはなるのですが、

諸々の問題で、

今回はそちらは見送ることになりました。

 

それと、

悩むのは「お名前」の入力欄の制限です。

 

「お名前」には「注冊送188菜金980856点com加威信v202368」というように本来は日本人の名前には含まれない半角英数が入っています。

 

なので、

本当は全角文字以外が含まれていればエラーで弾いてやる仕様にしたいのですが、

個人的にはフォームの入力制限に関しては、

ユーザーの離脱を避けるためにもあまり厳しくはしたくないです。

 

ここは悩むところですが、

海外からのお問合せはないという前提(実際にないですし)で、

半角英数字が含まれていれば弾いてやることにします。

 

あと、画像認証を入れてやるのも対策にはなるかと思います。
※私は、ユーザーの離脱が怖いので、極力入れたくはないですが。

 

因みに、

IPアドレスの割り当て国を調べる際に、

丁度Tera Termを立ち上げていたので、

コマンドラインから

# curl ipinfo.io/IPアドレス/country

と打って調べましたが、

https://ipinfo.io/IPアドレス/country

のURLをブラウザから叩けば国名を返してくれます。

 

さらに、

https://ipinfo.io/IPアドレス/

と叩けば、

もっと詳しい情報を返してくれるので、

何か良く分からないIPアドレスからアクセスがあった場合に、

簡単に情報を調べるのにはとても便利です。

弊社では、以下の方に向けて、WordPressの短期学習プログラムを
格安(15,000円~)で提供しております。

  • 個人でWordPressを使ったサイト(個人ブログやアフィリエイトサイトなど)構築をお考えの方
  • WordPressを使って副業で稼ぎたい方
  • フリーランスでWordPressを使ったお仕事をお考えの方
  • 自社でホームページの構築・運用をお考えの方
  • 企業のWEB担当者の方

内容

基本的には、初心者の方を対象にした学習プログラムです。

※ WordPress制作の上級者の方の場合、弊社の学習プログラムはあまり役に立たないと考えています。

  • ・ WordPressのインストールからセッティングの方法
  • ・ WordPressのテーマ選びについて
  • ・ WordPressのプラグイン選びと設定方法について
  • ・ サーバの準備方法
  • ・ ドメインの取得・管理の方法
  • ・ FTPの設定方法
  • など

ご用意頂くもの

  • ・ ノートPC
    ※ 弊社はWindowsを業務で利用しておりますので、できればWindowsのPCをおすすめしています。
  • WordPressでサイトの制作を考えているが、何から始めればいいのか分からない。
  • ドメインやサーバはどうやって準備すればいいの?
  • そもそもホームページの公開には何が必要なの?

などなど、

どのような内容でも構いませんので、お気軽にお問い合わせ下さい。

お客様の目的をお聞きした上で、最適の学習プランを提案致します。

ご興味のある方は、以下の内容を記載の上、一度お問い合わせ下さい。
こちらより、折り返しメールを致します。

  • ① お名前
  • ② 折り返し先のメールアドレス
  • ③ 希望の学習内容

関連記事

  1. PHP(ピー・エイチ・ピー)

    PHP

    【PHP5.3】マジッククオートの設定は、オフにしておきましょう!

    マジッククオートについて最近はPHP7が主流になってき…

  2. PHP(ピー・エイチ・ピー)

    PHP

    【PHP】substr()を使って郵便番号を「3桁 - 4桁」に変換

    PHPでの郵便番号の取り扱いについて、メモ程度に情報を残しておきま…

  3. PHP

    PHP5.3で問題が発生です!!

    最近ディープのサーバをさくらインターネットの専用サーバへ乗り換えたので…

  4. PHP(ピー・エイチ・ピー)

    PHP

    Smarty modifier(修飾子プラグイン)

    以前、以下の様な記事を書きました。https://www.deep…

  5. PHP

    mb_strimwidth()が便利だと思った理由

    最近便利だと思った関数に、mb_strimwidth()があります…

  6. Database(データベース)

    PHP

    phpPgAdminをインストール

    phpPgAdminのインストール方法についてのメモ書きです。&n…

最近の記事

  1. PHP(ピー・エイチ・ピー)
  2. SONY 広角レンズ「SEL1018」
  3. PHP(ピー・エイチ・ピー)
  4. 俺流塩ラーメン
  5. SEO(エスイーオー)
  6. Linux(リナックス)
  7. Linux(リナックス)
  8. PHP(ピー・エイチ・ピー)
  9. バージョンアップ
  10. Google Search(グーグル検索)
PAGE TOP