見えない防御。静かに排除。
ユーザーに見えない13層のスパム防御。
CAPTCHA不要。フリクションなし。設定不要。
GPL-2.0 · 無料 · アカウント登録不要
画像パズルはフォーム離脱率を上げます。本物の顧客は去り、画像認識AIを持つボットは残ります。
固定名の隠しフィールドはボットのブロックリストに登録済み。一瞬でスキップされます。
スパムメールはサーバーと受信箱に届いてしまいます。分類は被害が出た後です。
Puppeteer や Playwright は JavaScript を実行し、フィールドを埋め、チャレンジを解きます——人間と同じように。
各レイヤーが独立して送信をスコアリング。合計スコアが閾値を超えるとスパムは静かに破棄され、ボットには偽の成功レスポンスが返されます。ボットは失敗したことに気づきません。
実際のブラウザエンジンを実行しないスクリプトをブロック。
セッションごとに暗号導出される名前を持つデコイフィールド。
署名付きリクエストバウンドトークンで改ざん・偽造・再利用を検出。
人間には不可能な送信速度を検出。正規のオートフィルは自動免除。
ボットに時間と計算コストを課す暗号パズル。
マウス移動・キー入力・スクロールなど実際のインタラクションパターンを整合性検証付きで計測。
複数のシグナルからヘッドレス・自動化ブラウザ環境を特定。
IPv6正規化対応のソース単位送信スロットリング。
トークンのアトミック消費。各トークンは1回限り有効。
管理画面からIP/CIDR範囲で既知のスパム送信元をブロック。
リンクが大量に含まれるメッセージを検出——SEOスパムの典型的特徴。
ボットがフォームフィールドに挿入する掲示板スタイルのスパム構文を検出。
WordPress標準のコメント拒否リストと連動したサイト固有ルール。
合計スコアが閾値を超過 → Silent Kill
ボットには「メッセージありがとうございます」が表示されます。メールは送信されません。
プラグインを有効化するだけ。全てのContact Form 7・WPFormsフォームが自動的に保護されます。ショートコード、フォーム編集、設定画面の操作は不要。
Cookie不使用。外部リクエスト不使用。プラグイン独自のPII保存なし。IPアドレスはサイト固有ソルトで一方向ハッシュ化。Cookie同意バナー不要。
トークンはREST API経由で取得——HTMLに埋め込みません。WP Super Cache、W3 Total Cache、Cloudflare、あらゆるフルページキャッシュに対応。
クライアントからのデータは全て暗号署名でサーバーサイド検証。フロントエンドは侵害されている前提で設計。
ブロックされたボットには偽の「成功」レスポンスが返されます。失敗に気づかないので、別の戦略で再試行しません。
単一PHPファイル。jQuery不要。外部依存なし。ページ読み込み速度への影響はほぼゼロ。
ブロックされた送信はFlamingoのSpamフォルダに記録。誤判定の確認や正当なメッセージの復旧がいつでも可能。
特定フォームの保護を外したい場合は、Additional Settingsにskip_uhp: onを追加。他のフォームは保護されたまま。
Cloudflare、Nginxリバースプロキシ、ロードバランサーをファーストクラスサポート。信頼済みIP範囲の自動検証。
| CF7 UHP | reCAPTCHA | Akismet | Basic Honeypot | |
|---|---|---|---|---|
| ユーザー操作不要 | ✓ | ✗ | ✓ | ✓ |
| ヘッドレスブラウザ対策 | ✓ | Partial | ✗ | ✗ |
| Proof of Work | ✓ | ✗ | ✗ | ✗ |
| 行動分析 | ✓ | ✗ | ✗ | ✗ |
| コンテンツ分析 | ✓ | ✗ | ✓ | ✗ |
| IPホワイト/ブロックリスト | ✓ | ✗ | ✗ | ✗ |
| リプレイ防止 | ✓ | ✓ | — | ✗ |
| フルページキャッシュ対応 | ✓ | ✓ | ✓ | Partial |
| 外部サービス不要 | ✓ | ✗ | ✗ | ✓ |
| Cookie不使用 | ✓ | ✗ | ✓ | ✓ |
| PII保存なし | ✓ | ✗ | ✗ | Partial |
| Silent Kill | ✓ | ✗ | ✗ | ✗ |
プラグインをアップロード、またはWordPress.orgからインストール。「有効化」をクリック。
サイト上の全てのContact Form 7・WPFormsフォームが、13層の見えない防御で保護されます。
細かい調整は設定 → Samurai Honeypot for Formsから可能。おそらく必要ありませんが。
Samurai Honeypot for Forms はメール送信前にボットをブロック。既存のセキュリティスタックと連携します——競合しません。
13層の行動分析・暗号スコアリング。大半のボットをフォームレベルで静かにブロック。
Googleの不可視ページレベルリスクスコアリング。UHPと競合せず独立したシグナルを追加。
クラウドベースのコンテンツフィルター。パターンマッチングとML分類ですり抜けたスパムを捕捉。
はい。トークンはREST APIで動的に取得するため、キャッシュされたHTMLに埋め込まれません。WP Super Cache、W3 Total Cache、LiteSpeed Cache、Cloudflare、その他あらゆるフルページキャッシュと完全互換です。
はい。Contact Form 7の場合はAdditional Settingsタブにskip_uhp: onを追加してください。WPFormsの場合はフォームの設定パネルから保護を無効にできます。そのフォームだけが除外され、他は保護されたままです。
もちろんです。Samurai Honeypot for Forms は送信パイプラインの異なる段階で動作し、どちらとも競合しません。併用することでより強固な多層防御を構築できます。
ブロックされた送信はFlamingoの「スパム」フォルダに記録されます(「受信トレイ」ではありません)。メールは送信されませんが、送信データは保存されるため、誤判定の確認がいつでも可能です。
いいえ。プラグインはPIIを一切保存しません。IPアドレスはサイト固有のソルトで一方向ハッシュ化されてから内部的に使用されます。生のIPはデータベースに書き込まれません。Cookieの設定もなく、外部サービスへのデータ送信もありません。
はい。設定で「ログインユーザーをホワイトリスト」を有効にすると、認証済みユーザーのスコアリングが全てスキップされます。
以下の手順でデータセンター経由のボットを特定・ブロックできます:
[_remote_ip] と [_user_agent] を追加して、各送信のIPアドレスとUser-Agentを記録してください。35.72.0.0/13)を登録して一括ブロック(Tier 3 Drop)できます。上級者向け: 可能であれば、データセンターIPのブロックはWAF(Cloudflare、Sucuri等)や .htaccess レベルで行う方がより効果的です。これらのブロックはWordPressやPHPがロードされる前に適用されるため、ブロックされたリクエストによるサーバーリソースの消費がゼロになります。プラグインレベルのブロックでは、リクエストごとにWordPressのフルブートストラップが必要になるためです。
無料、オープンソース、30秒で導入完了。
WordPress.org でダウンロード