reCAPTCHAを突破されたロボットによるフォームからのスパム送信を防御する方法

最近になって、ホームページの問い合わせフォームより1日100件以上のスパムが送り付けられてきます。
今までは、reCAPTURE V3で防御していましたが、突破されてしまい効果がありません。
このまま放置しておくとSEO対策上良くないので、何とか対策を講じようと試行錯誤しておりました。

reCAPTURE以外の防御策として行なったことは、次の2つです。

1. 海外からのアクセスを遮断
2. サーバーのアクセスログを参照して、スパムを送信しているIPアドレスを片っ端から遮断

ところが、全く効果なし。

海外からのアクセスを遮断しても、VPNを使用して国内からアクセスしているように偽装されては意味なしです。また、IPアドレスを特定しても、相手は次から次へとIPを変更してくるので、延々とイタチごっこです。

そこで、単純なことを思いつきました。

一般的に問い合わせフォームのURLは、「http://—-.com/contact」となっていることが多いと思います。当社も例に漏れず「contact」です。

ということは、「相手のロボットが、ランダムにURLに続く「contact」のページを探し、それが見つかればスパムを送りつけているのではないか？」と推測しました。

もしそうであれば、お問合せのページのファイル名を「contact」以外にすれば良いのでは？と思い、試しにページファイル名を「contact」から、ローマ字の「otoiawase」に変更してみました。

これがお大当たり！何とスパムがピタッと止まりました。

この対策法はいつまで効果があるかわかりませんが、迷惑フォームの送り付けで困っていらっしゃる方は、一度お試しください。

ただ注意しないといけないのが、既にGoogleにお問い合わせページがインデックス登録されている場合は、ページファイル名を変更することで404エラーが出てしまいSEO対策上良くありません。変更後のURLをGoogle Search Consoleを利用して再登録した方が良いです。因みにリダイレクトさせる方法もありますが、これではクラッカーに変更後のURLを教えているようなものなので意味がありません。