仕様に沿った話。
reCAPTHAをやる
Googleが提供してるアレ。
「お問い合わせ」下層メニューの「インテグレーション」からいける。
公式の案内を読めば迷わずやっていける。
reCAPTCHA (v3)
reCAPTCHA protects you against spam and other types of automated abuse. With Contact Form 7’s reCAPTCHA integration modu...
contactform7.com
nonceをやる
CF7に入ってる機能で、文字列を生成して検証に使うことでスパム回避をやっていくやつ。
以前は標準で有効になってたのが無効に変更された。理由はあんまり意味なくね?ってことらしい。
ともあれ、functions.phpに記述することで有効化できる。
add_filter( 'wpcf7_verify_nonce', '__return_true' );説明はこれ。
Contact Form 7 4.9 | Contact Form 7 [日本語]
contactform7.com
共存について
reCAPTCHAとnonceは共存できるので両方やっとけばいいんじゃないですかね。自前のチェック機構と第三者のチェック機構のダブルなんで、お得なんじゃないでしょうか。
セキュリティ面の話
HTTPヘッダーを始めとしたセキュリティ周りのことを最近やってるのだけど、素敵な機能をつけたところでチェッカーがそれを判断してくれないと未対応扱いのままなわけで。しかし素人なので、チェックされてないだけで大丈夫って話なのか、チェックを通らないことをしたところで無意味だって話なのか、内訳がさっぱりわからない。
どうなんでしょうね。
CF7は「CSRF」が関係する。ヘッダーの宣言で済む問題じゃないっぽいんですが、どうなんですかこれ。
コメント